Secure Access Monitorプラグインを構成する

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。Okta for AI Agentsの使用には、Okta for AI Agents利用規約（早期アクセス）が適用されます。

Secure Access Monitor（SAM）プラグインは、管理対象のChrome拡張機能です。SAMプラグインを構成すると、管理対象外のOAuth付与を監視し、収集されたデータをOkta Identity Security Posture Management（ISPM）に安全に転送できます。

開始する前の確認事項

Okta orgがGoogle Chrome Enterpriseに接続されていること。SAMプラグインは、管理対象のChromeブラウザーでのみ機能します。「OktaをChrome Enterpriseと統合する」を参照してください。
ChromeブラウザーがGoogle Chrome Enterprise Coreに登録されている。登録されていない場合は、「クラウド管理型のChromeブラウザを登録する」の手順に従ってください。これは、Google CA証明書のプロビジョニングに必要です。サードパーティーのMDMソリューションだけでは不十分です。Windowsデバイスで登録を完了するためには、追加のレジストリ設定またはMDMポリシーが必要です。
スーパー管理者のロールがある。
Google管理コンソールへのアクセス権がある。
アクティブなOkta ISPMテナント（ISPMまたはOkta AIライセンス）がある。
セキュリティポリシーがOAuth付与をブロックしていない。
SAMプラグインのクライアント証明書が手動の証明書選択フロー（スマートカード、PIV、レガシーDevice Trust）の妨げになっていることを認識している。
SASEソリューションを使用する場合、Okta URL（https://<org>.mtls.okta.com）をTLSインスペクションから除外されるように構成している。

Chromeブラウザーを構成する

証明書がOktaデータエンドポイントに自動的に送信されるように構成します。まず、Google Certificate Authorityをプロビジョニングしてダウンロードします。その後、クライアント証明書の設定を構成します。

Google Certificate Authorityをプロビジョニングしてダウンロードします。

Google Certificate Authorityをプロビジョニングしてダウンロードします。詳細については、「Chromeブラウザを構成して、独自のクライアント証明書をプロビジョニングする（ステップ1：Google CAをプロビジョニングする）」を参照してください。

管理者アカウントでGoogle管理コンソールにサインインします。
Google管理コンソールで、［Chrome browser（Chromeブラウザー）］>［Connectors（コネクター）］に移動します。
Google Certificate Authorityの構成を適用する組織単位を選択します。
［Connectors（コネクター）］ページで、［+ New provider configuration（+ 新規プロバイダー構成）］をクリックします。

すでにOkta Device Trustなどのプロバイダー構成がセットアップされている場合は、追加のプロバイダー構成としてGoogle CAを作成します。どちらも同じ組織単位に適用できます。
［Set up a provider（プロバイダーのセットアップ）］パネルで、［Google Certificate Authority］を見つけて、［Set up（セットアップ）］をクリックします。
［Provision（プロビジョニング）］をクリックします。
［Connectors（コネクター）］ページで、［Google Certificate Authority］の［Details（詳細）］をクリックします。
GoogleCertificateAuthority.pemをダウンロードします。

クライアント証明書の設定を構成する

クライアント証明書の設定を構成します。詳細については、「Chromeブラウザを構成して、独自のクライアント証明書をプロビジョニングする（ステップ2：[クライアント証明書] の設定を構成する）」を参照してください。

管理者アカウントでGoogle管理コンソールにサインインします。
Google管理コンソールで、［Chrome browser（Chromeブラウザー）］>［Settings（設定）］に移動します。
適切な組織単位を選択します。
［User & browser settings（ユーザーとブラウザーの設定）］タブで、［Client certificates（クライアント証明書）］を検索してクリックします。
［Automatically select for these sites（これらのサイトを自動的に選択する）］フィールドに、次を入力して<org> をOkta orgのサブドメインに置き換えます：{"pattern": "https://<org>.mtls.okta.com", "filter": {"ISSUER": {"CN":"Chrome Enterprise CA"}}}。

OrgがPreview Orgの場合、<org>.mtls.okta.comを<org>.mtls.oktapreview.comで置き換えます。
ポリシーが適用されたことを確認するには、管理対象のChromeブラウザーを使用して chrome://policy/にアクセスします。ポリシーリストでAutoSelectCertificateForUrlsを見つけ、そこにエントリが表示されていることを確認します。

Okta Admin Consoleに認証局をアップロードする

Google管理コンソールから取得したCAをOkta Admin Consoleにアップロードします。この証明書はクライアント証明書の認証プロセスで必要となります。

Okta Admin Consoleで、［Security（セキュリティ）］ > ［Device integrations（デバイス統合）］に移動します。
［Certificate authority（認証局）］タブをクリックします。
［Add certificate authority（認証局を追加）］をクリックします。
［Issue certificate to（証明書の発行先）］で、［Secure Access Monitor plugin（Secure Access Monitorプラグイン）］を選択します。
CA証明書チェーンをアップロードします。ファイルタイプは.pemにしてください。

プラグインをインストールする

Google管理コンソールにサインインします。
［Chrome browser（Chromeブラウザー）］>［Apps & extensions（アプリと拡張機能）］に移動します。
［Users & browsers（ユーザーとブラウザー）］タブをクリックします。
Okta組織単位を選択します。

一部のユーザーでインストールをテストする場合は、選択したユーザーのグループまたは組織単位を作成し、そちらを選択します。詳細については、「グループ」と「組織部門を追加する」を参照してください。
右下の［+］アイコンをクリックし、［Add Chrome app or extension by ID（IDでChromeアプリまたは拡張機能を追加する）］を選択します。
［Extension ID（拡張機能ID）］フィールドに、SAMプラグインID：galipinbbdandeicdicjbalcbpdbljjjを入力します。
［Save（保存）］をクリックします。
SAMプラグインの設定を開きます。
［Allow install（インストールを許可する）］を［Force install（強制インストール）］に変更します。
［Policy for extensions（拡張機能のポリシー）］フィールドに、次のJSONを入力して<org>をOkta orgのサブドメインに置き換えます：{ "orgUrl": { "Value": "https://<org>.okta.com" } }。
［SAVE（保存）］をクリックします。

詳細については、「アプリと拡張機能を自動的にインストールする」を参照してください。

管理対象のChromeプロファイルにユーザーをサインインする

構成を有効にするには、エンドユーザーがOkta orgのURLを使用して、管理対象のChromeプロファイルとOkta End-User Dashboardにサインイン必要があります。

構成を確認する

SAMプラグインを構成してデプロイすると、ユーザーのブラウザーからOktaにデータが送られるようになります。

構成を確認するには、ISPMダッシュボードをチェックしてデータがOktaに送られていることを確認します。ISPMコンソールにデータが表示されるまで最大7日かかる場合があります。詳細については、「OAuth付与を使用するシャドーAIエージェント特定する」を参照してください。