Secure Access Monitorプラグインを構成する

Secure Access Monitor（SAM）プラグインは、管理対象のChrome拡張機能です。SAMプラグインを構成すると、管理対象外のOAuth付与を監視し、収集されたデータをOkta Identity Security Posture Management（ISPM）に安全に転送できます。

開始する前の確認事項

• Okta orgがGoogle Chrome Enterpriseに接続されていること。SAMプラグインは、管理対象のChromeブラウザーでのみ機能します。「OktaをChrome Enterpriseと統合する」を参照してください。

• ChromeブラウザーがGoogle Chrome Enterprise Coreに登録されている。登録されていない場合は、「クラウド管理型のChromeブラウザを登録する」の手順に従ってください。これは、Google CA証明書のプロビジョニングに必要です。サードパーティーのMDMソリューションだけでは不十分です。Windowsデバイスで登録を完了するためには、追加のレジストリ設定またはMDMポリシーが必要です。

• スーパー管理者のロールがある。

• Google管理コンソールへのアクセス権がある。

• アクティブなOkta ISPMテナント（ISPMまたはOkta AIライセンス）がある。

• セキュリティポリシーがOAuth付与をブロックしていない。

• SAMプラグインのクライアント証明書が手動の証明書選択フロー（スマートカード、PIV、レガシーDevice Trust）の妨げになっていることを認識している。

• SASEソリューションを使用する場合、Okta URL（https://<org>.mtls.okta.com）をTLSインスペクションから除外されるように構成している。

• ブラウザーポリシーによって、ブラウザーが特定のクライアント証明書に固定されていない。これにより、ユーザーはDevice Trustを通じて認証されない。

Chromeブラウザーを構成する

証明書がOktaデータエンドポイントに自動的に送信されるように構成します。まず、Google Certificate Authorityをプロビジョニングしてダウンロードします。その後、クライアント証明書の設定を構成します。

Google Certificate Authorityをプロビジョニングしてダウンロードします。

Google Certificate Authorityをプロビジョニングしてダウンロードします。詳細については、「Chromeブラウザを構成して、独自のクライアント証明書をプロビジョニングする（ステップ1：Google CAをプロビジョニングする）」を参照してください。

1. 管理者アカウントでGoogle管理コンソールにサインインします。

2. Google管理コンソールで、［Chrome browser（Chromeブラウザー）］［Connectors（コネクター）］に移動します。

3. Google Certificate Authorityの構成を適用する組織単位を選択します。

4. ［Connectors（コネクター）］ページで、 ［+ New provider configuration（+ 新規プロバイダー構成）］をクリックします。

   すでにOkta Device Trustなどのプロバイダー構成がセットアップされている場合は、追加のプロバイダー構成としてGoogle CAを作成します。どちらも同じ組織単位に適用できます。

5. ［Set up a provider（プロバイダーのセットアップ）］パネルで、［Google Certificate Authority］を見つけて、［Set up（セットアップ）］をクリックします。

6. ［Provision（プロビジョニング）］をクリックします。

7. ［Connectors（コネクター）］ページで、［Google Certificate Authority］の［Details（詳細）］ をクリックします。

8. GoogleCertificateAuthority.pemをダウンロードします。

クライアント証明書の設定を構成する

クライアント証明書の設定を構成します。詳細については、「Chromeブラウザを構成して、独自のクライアント証明書をプロビジョニングする（ステップ2：[クライアント証明書] の設定を構成する）」を参照してください。

1. 管理者アカウントでGoogle管理コンソールにサインインします。

2. Google管理コンソールで、［Chrome browser（Chromeブラウザー）］［Settings（設定）］に移動します。

3. 適切な組織単位を選択します。

4. ［User & browser settings（ユーザーとブラウザーの設定）］タブで、［Client certificates（クライアント証明書）］を検索してクリックします。

5. ［Automatically select for these sites（これらのサイトを自動的に選択する）］フィールドに、次を入力して<org> をOkta orgのサブドメインに置き換えます：{"pattern": "https://<org>.mtls.okta.com", "filter": {"ISSUER": {"CN":"Chrome Enterprise CA"}}}。

   OrgがPreview Orgの場合、<org>.mtls.okta.comを<org>.mtls.oktapreview.comで置き換えます。

6. ポリシーが適用されたことを確認するには、管理対象のChromeブラウザーを使用して chrome://policy/にアクセスします。ポリシーリストでAutoSelectCertificateForUrlsを見つけ、そこにエントリが表示されていることを確認します。

Okta Admin Consoleに認証局をアップロードする

Google管理コンソールから取得したCAをOkta Admin Consoleにアップロードします。この証明書はクライアント証明書の認証プロセスで必要となります。

1. Okta Admin Consoleで、［Security（セキュリティ）］ > ［Device integrations（デバイス統合）］に移動します。

2. ［Certificate authority（認証局）］タブをクリックします。

3. ［Add certificate authority（認証局を追加）］をクリックします。

4. ［Issue certificate to（証明書の発行先）］で、［Secure Access Monitor plugin（Secure Access Monitorプラグイン）］を選択します。

5. CA証明書チェーンをアップロードします。ファイルタイプは.pemにしてください。

プラグインをインストールする

1. Google管理コンソールにサインインします。

2. ［Chrome browser（Chromeブラウザー）］>［Apps & extensions（アプリと拡張機能）］に移動します。

3. ［Users & browsers（ユーザーとブラウザー）］タブをクリックします。

4. Okta組織単位を選択します。

   一部のユーザーでインストールをテストする場合は、選択したユーザーのグループまたは組織単位を作成し、そちらを選択します。詳細については、「グループ」と「組織部門を追加する」を参照してください。

5. 右下の［+］アイコンをクリックし、［Add Chrome app or extension by ID（IDでChromeアプリまたは拡張機能を追加する）］を選択します。

6. ［Extension ID（拡張機能ID）］フィールドに、SAMプラグインID：galipinbbdandeicdicjbalcbpdbljjjを入力します。

7. ［Save（保存）］をクリックします。これで、アプリと拡張機能に拡張機能が表示されます。

8. ［Secure Access Monitor］拡張機能をクリックして、設定パネルを開きます。

9. ［Allow install（インストールを許可する）］を［Force install（強制インストール）］に変更します。

10. ［Policy for extensions（拡張機能のポリシー）］フィールドに、次のJSONを入力して<org>をOkta orgのサブドメインに置き換えます：{ "orgUrl": { "Value": "https://<org>.okta.com" } }。

11. ［SAVE（保存）］をクリックします。

詳細については、「アプリと拡張機能を自動的にインストールする」を参照してください。

管理対象のChromeプロファイルにユーザーをサインインする

構成を有効にするには、エンドユーザーがOkta orgのURLを使用して、管理対象のChromeプロファイルとOkta End-User Dashboardにサインイン必要があります。

インストールを確認する

SAMプラグインが正しくインストールされ、OAuthイベントをキャプチャしていることを確認するには、Chromeデベロッパーツールを使用します。

拡張機能のストレージを確認する

1. 管理対象のChromeブラウザーで、chrome://extensionsに移動します。

2. ［Developer mode（開発者モード）］に切り替えます。

3. ［Secure Access Monitor］拡張機能を見つけて、［service worker（サービスワーカー）］をクリックします。

4. ［DevTools］ウィンドウで、［Application（アプリケーション）］タブをクリックします。

5. ナビゲーションメニューで［Storage（ストレージ）］［Extension Storage（拡張機能ストレージ）］を選択します。

6. 次の表のフィールドを確認します。

フィールド	説明	想定される値
userInfo	プラグインのIDアンカー。browserOktaUserIdおよび関連するOkta org URLを含みます。	有効なbrowserOktaUserIdおよびorgIdが自動入力されます。空の場合、ユーザーはまだOkta End-User Dashboardにサインインしていません。
pendingOauthEvents	キャプチャされたOAuth付与試行のローカルキュー。	ユーザーがOAuth付与フローを開始した後に自動入力されます。プラグインがイベントをOktaに正常に送信するとクリアされます（HTTP 202 Accepted）。
orgUrl	Google管理で構成されたOktaテナントURL 。	https://<org> .okta.comに一致する。

SAM OAuthイベントライフサイクル

SAMプラグインは、収集-保存-フラッシュというデータ収集モデルを使用します。ユーザーがOAuthフローを開始すると、SAMプラグインはリクエストを傍受し、pendingOauthEventsにローカルに保存します。データは、バッチ送信がトリガーされるまで、この保留中の状態のままになります。

次のいずれかの条件が満たされると、バッチ送信がトリガーされます。

• ローカルストレージに収集されたイベント数が100。

• 24時間サイクルが、24時間以上より古いイベントで完了する。

登録とイベントの送信を確認する

JSON Webキーセット（JWKS）とトークン呼び出しは、インストールの直後にはトリガーされません。これらの認証フローは、バッチ送信のイベント中にのみ開始されます。

バッチ送信が発生した後、登録と送信が成功したことを確認します。

1. ［DevTools］ウィンドウで、［Application（アプリケーション）］タブをクリックします。

2. ナビゲーションメニューで、［Storage（ストレージ）］ > ［Extension Storage（拡張ストレージ）］ > ［Local（ローカル）］を選択します。

3. 次の表で、ストレージキーを確認してください。

ストレージキー	想定される値	説明
jwkRegisterResp	オブジェクトが存在する	OktaへのJWKS登録が成功しました。
authStatus	TOKEN_OK	有効なアクセストークンがバックエンドから取得されました。
accessToken	トークン文字列が存在する	プラグインは完全に認証され、送信の準備が完了しました。
pendingOauthEvents	[]（空の配列）	ローカルでキューに入れられたすべてのイベントは、Oktaにフラッシュされます。

バッチ送信は、［DevTools］ウィンドウの［Network（ネットワーク）］タブでも確認できます。バッチ送信が成功すると、次の呼び出しシーケンスが生成されます。

1. POST /jwks：プラグインは公開鍵を登録します。

2. POST /token：プラグインは登録をアクセストークンに交換します。

3. POST /events：プラグインはテレメトリペイロードを送信します（HTTP 202 Acceptedを返します）。

ISPMダッシュボードを確認する

SAMプラグインを構成してデプロイすると、ユーザーのブラウザーからOktaにデータが送られるようになります。

構成を確認するには、Okta ISPMダッシュボードを確認して、データがOktaに送られていることを確認します。ISPMコンソールにデータが表示されるまで最大2日かかる場合があります。「SAMプラグインを使用してシャドーAIエージェントを検出する」を参照してください。