デバイスシグナル収集ルールを作成する
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
デバイスシグナル収集ルールを使用すると、認証ポリシールールの既存デバイスプローブ機能を拡張できます。これを使用すると、Okta VerifyおよびChrome Device Trustコネクターからのデバイスシグナルをポリシー評価に追加できます。
デバイスシグナルを収集する方法、およびデバイスからユーザーIDを収集するかどうかを指定できます。これらのシグナルを認証ポリシーの条件として使用して、アプリへのアクセスリクエストまたはAuthenticatorへの登録リクエストを評価します。Oktaはポリシー内のルールを評価する前に、デバイスシグナルを収集します。
デバイスシグナル収集ルールを使用すると、Okta FastPassが所有要件を満たした上で、スマートカードなど他の所有要素による認証をユーザーに求めない状況を回避できます。
ユーザーIDを収集することで、特定のデバイスで認証を試みるユーザーを特定しやすくなります。これは、Okta Verifyに複数のユーザーIDが存在する場合に便利です。Sign-In Widgetの[Username(ユーザー名)]フィールドにユーザーIDを事前入力することで、ユーザーがこの手順をスキップしてセキュリティ方式を選択できるようになります。
デバイスシグナル収集ルールを使用すると、Okta FastPassが所有要件を満たした上で、スマートカードなど他の所有要素による認証をユーザーに求めない状況を回避できます。
ユーザーIDを収集することで、特定のデバイスで認証を試みるユーザーを特定しやすくなります。これは、Okta Verifyに複数のユーザーIDが存在する場合に便利です。Sign-In Widgetの[Username(ユーザー名)]フィールドにユーザーIDを事前入力することで、ユーザーがこの手順をスキップしてセキュリティ方式を選択できるようになります。
Okta APIでこの機能を使用する手順については、「デバイスシグナル収集ポリシー」を参照してください。
次のいずれかの設定で認証ポリシールールがある場合、デバイスシグナル収集ルールを作成する必要があります。
- デバイスの状態が[Registered(登録済み)]または[Managed(管理対象)]:Okta Verifyを使用してデバイスシグナルを収集するデバイスシグナル収集ルールを作成します。
- デバイス属性プロバイダーを使用するデバイス保証ポリシー:同じデバイス属性プロバイダーを使用するデバイスシグナル収集ルールを作成します。
この手順を開始する
-
Admin Consoleでに移動します。
- デバイスシグナル収集ルールを追加するポリシーを選択します。
- [Actions(アクション)]をクリックし、[Show device signals collection rules(デバイスシグナル収集ルールを表示)]をクリックします。[Device signal collection rules(デバイスシグナル収集ルール)]タブが表示されます。
- [Device signal collection rules(デバイスシグナル収集ルール)]タブを選択します。
- [Add Rule(ルールを追加)]をクリックします。
- [Rule name(ルール名)]フィールドに名前を入力します。
- [Device platform is(デバイスプラットフォーム)]ドロップダウンメニューをクリックし、シグナルを収集するプラットフォームを選択します。選択したプラットフォームがドロップダウンメニューの下に表示されます。
- [User's IP is(ユーザーのIP)]ドロップダウンメニューから、ネットワークゾーンオプションを選択します。「ネットワークゾーン」を参照してください。
- [Perform device signals collection with(デバイスシグナル収集を実行する方法)]セクションで、構成オプションを選択します。
- [Okta Verify]:Okta Verifyからデバイスシグナルを取得します。
- [Allow Okta Verify to collect user identity(Okta VerifyによるユーザーIDの収集を許可する)]:このオプションは、[Okta Verify]を選択すると表示されます。Okta VerifyからユーザーIDを取得し、ユーザーがOktaにサインインするとSign-In Widgetの[Username(ユーザー名)]フィールドが自動入力されます。Sign-In Widgetでユーザー名を明示的に指定するようユーザーに求める場合は、このオプションをオフにしておきます。
- [Chrome Device Trust connector(Chromeデバイストラストコネクタ)]:Google ChromeブラウザーおよびChromeOSデバイスからデバイスシグナルを取得します。「Chrome Enterpriseデバイストラストコネクタを管理する」を参照してください。
- [Device posture identity provider is (デバイスポスチャIDプロバイダー)]ドロップダウンメニューで、デバイスポスチャIDプロバイダーを選択します。
- [Save(保存)]をクリックします。[Device signal collection rules(デバイスシグナル収集ルール)]タブが表示されます。
- [Enable the ruleset(ルールセットを有効にする)]をクリックします。
-
拒否ルールを追加します。[THEN Access is(アクセスの可否)]セクションで[Denied(拒否)]を選択します。このルールは、このポリシー内の他のルールの要件を満たさないデバイスに対してアクセスを拒否します。これにより、脆弱なルールの精査時にUser-AgentやIPの値を偽装する悪意のあるアクターをブロックできます。
デバイスシグナル収集ルールをアクティブ化または非アクティブ化する
ルール作成時はルールを非アクティブ化し、デプロイの準備ができてからアクティブ化できます。
-
Admin Consoleでに移動します。
- アクティブ化または非アクティブ化するルールが含まれているポリシーを選択します。
- [Device signal collection rules(デバイスシグナル収集ルール)]タブをクリックします。
- アクティブ化または非アクティブ化するルールの横にある[Actions(アクション)]をクリックし、[Activate(アクティブ化)]または[Deactivate(非アクティブ化)]を選択します。
デバイスシグナル収集ルールを削除する
ルールの削除は元に戻せません。誤ってルールを削除した場合は、別のルールを作成して置換する必要があります。
-
Admin Consoleでに移動します。
- ルールを削除するポリシーを選択します。
- [Device signal collection rules(デバイスシグナル収集ルール)]タブをクリックします。
- ルールを非アクティブ化します。「デバイスシグナル収集ルールをアクティブ化または非アクティブ化する]を参照してください。
- 削除するルールの横にある[Actions(アクション)]をクリックし、[Delete(削除)]をクリックします。
認証ポリシーからすべてのデバイスシグナル収集ルールを削除する
認証ポリシーでこの機能を使用したくない場合は、すべてのデバイスシグナル収集ルールを削除してこの機能を無効にできます。
-
Admin Consoleでに移動します。
- デバイスシグナル収集ルールを削除するポリシーを選択します。
- [Actions(アクション)]をクリックし、[Remove device signals collection rules(デバイスシグナル収集ルールを削除)]を選択します。
- 確認のプロンプトで[Remove device signals collection rules(デバイスシグナル収集ルールを削除)]をクリックします。[Device signal collection rules(デバイスシグナル収集ルール)]タブが削除されました。
エラーメッセージが表示された場合は、に移動します。デバイスシグナル収集ルールを使用する認証ポリシーを見つけて、これらのルールをポリシーから削除します。「デバイスシグナル収集ルールを削除する」を参照してください。このセクションに戻って、これらの手順をもう一度実行してください。