信頼できるアプリのフィルター
Okta FastPassの信頼できるアプリのフィルターを利用することで、orgはWindowsで、およびmacOS向けのChromeとFirefoxで、Okta FastPassの呼び出しが許可されるアプリを管理できます。具体的には、信頼できるアプリのフィルターを利用することで、未署名のバイナリをブロックし、バイナリの許可リストを作成することができます。未署名のバイナリがOkta FastPassを呼び出すことを防止することで、未認可または悪意のあるソフトウェアに対するセキュリティを強化できます。バイナリの許可リストを作成することで、Okta FastPassの呼び出しが許可されるバイナリを指定できるため、信頼できるアプリケーションのみがこの機能を持つことが保証されます。
信頼できるアプリのフィルターを有効にする
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
Okta FastPassの[Trusted app filters(信頼できるアプリのフィルター)]は、Admin Consoleで有効にできる早期アクセス機能です。
機能を有効にすると、Okta Expression Languageを使用してクエリを作成できます。
信頼できるアプリのフィルターを構成する
binaryIdentifierを特定する
Okta Expression Languageを使って認証ポリシー内にクエリを構成することで、どのバイナリまたはアプリケーションがOkta FastPassループバックサーバーを呼び出せるかを制御できます。クエリを作成するには、ブロックまたは許可するアプリのbinaryIdentifierが必要です。この情報は、System Logにあります。
- System Logを開き、Authentication of user via MFAというログを探します。
- というイベントまでスクロールします。
- クエリで使用するbinaryIdentifierの値をコピーします。たとえばWindowsでは、ChromeのbinaryIdentifierの値はGoogle Chromeです。macOSでは、Google ChromeのbinaryIdentifierの値はEQHXZ8M8AV.com.google.Chrome.helperです。
Okta FastPassの呼び出しを許可またはブロックするアプリごとにこの操作を行います。
クエリを作成する
Okta Expression Languageを使って認証ポリシー内にクエリを構成することで、どのバイナリまたはアプリケーションがOkta FastPassループバックサーバーを呼び出せるかを制御できます。
クエリ | 説明 | 例 |
---|---|---|
バインドタイプ |
認証で使用されるバインド方式。現在サポートされるバインド方式は、LOOPBACKとAPPLE_SSO_EXTENSIONのみです。 この機能は、Apple App StoreバージョンのOkta Verify for macOSには含まれません。Admin Consoleの からOkta Verify for macOSをダウンロードします。 |
|
検証ステータス |
これは、バイナリが署名済みかどうかを表します。署名済みのバイナリは、SUCCESSで表すことができます。 これは、macOSおよびWindowsのLOOPBACKバインディングでのみサポートされます。 |
device.caller.validationStatus == "SUCCESS" |
バイナリ/アプリケーションID |
これは、Okta FastPassの呼び出しを許可するアプリを識別します。アプリケーションを識別するバイナリは、System Logで探すことができます。エラーが生じないように、表示どおりの値をコピーして貼り付ける必要があります。 |
|
認証ポリシー内でクエリを組み合わせることで、未署名のアプリによるループバックサーバーの呼び出しをブロックできます。
device.caller.bindingType == "LOOPBACK" &&
device.caller.validationStatus == "SUCCESS" &&
(device.caller.binaryIdentifier == "EQHXZ8M8AV.com.google.Chrome.helper" || device.caller.binaryIdentifier == "43AQ936H96.org.mozilla.firefox")
完成したクエリをアプリサインオンポリシーのExpression Languageフィールドに追加します。
信頼できるアプリのフィルターは、バインドタイプがloopbackに設定されると有効になります。機能が想定どおりに動作するように、この設定が正しく構成されていることを確認してください。
未署名のバイナリをブロックする
-
Admin Consoleで を開き、編集するポリシーをクリックします。
-
ELクエリの追加先となるルールの横の[Actions(アクション)]ドロップダウンメニューをクリックし、[Edit(編集)]をクリックします。任意で、グローバルセッションポリシーにルールを作成し、そこにELクエリを追加します。「グローバルセッションポリシー」を参照してください。
-
未署名のアプリによるOkta FastPassの呼び出しをブロックするためのクエリを[Expression Language(式言語)]フィールドに入力します。device.caller.validationStatus == "SUCCESS"
- このクエリを、Okta FastPassを狙ったローカル攻撃から保護するアプリのすべての認証ポリシーに貼り付けます。
- [Save(保存)]をクリックします。
バイナリの許可リストの作成と管理
- Admin Consoleで を開き、編集するポリシーをクリックします。
- ELクエリの追加先となるルールの横の[Actions(アクション)]ドロップダウンメニューをクリックし、[Edit(編集)]をクリックします。任意で、グローバルセッションポリシーにルールを作成し、そこにELクエリを追加します。「グローバルセッションポリシー」を参照してください。
- 特定のアプリにOkta FastPassの呼び出しを許可するELクエリを[式言語]フィールドに書き込みます。System LogのbinaryIdentifierフィールドに表示される値をコピーしてクエリを作成します。たとえば、許可リストにGoogle Chromeを追加するELクエリは、device.caller.binaryIdentifier == "EQHXZ8M8AV.com.google.Chrome.helper"となります。この「EQHXZ8M8AV.com.google.Chrome.helper」はSystem Logからコピーした値です。
- [Save(保存)]をクリックします。