信頼できるアプリのフィルター

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Okta FastPassの信頼できるアプリのフィルターを利用することで、orgはWindowsで、およびmacOS向けのChromeFirefoxで、Okta FastPassの呼び出しが許可されるアプリを管理できます。

具体的には、信頼できるアプリのフィルターを利用することで、未署名のバイナリをブロックし、バイナリの許可リストを作成することができます。未署名のバイナリがOkta FastPassを呼び出すことを防止することで、未認可または悪意のあるソフトウェアに対するセキュリティを強化できます。バイナリの許可リストを作成することで、Okta FastPassの呼び出しが許可されるバイナリを指定できるため、信頼できるアプリケーションのみがこの機能を持つことが保証されます。

信頼できるアプリのフィルターを構成する

信頼できるアプリのフィルター機能は、Apple App StoreバージョンのOkta Verify for macOSには含まれていません。

Admin Console[Settings(設定)][Downloads(ダウンロード)]からOkta Verify for macOSをダウンロードします。

binaryIdentifierを特定する

Okta Expression Languageを使ってアプリ・サインイン・ポリシー内にクエリを構成することで、どのバイナリまたはアプリがOkta FastPassループバックサーバーを呼び出せるかを制御できます。クエリを作成するには、ブロックまたは許可するアプリのbinaryIdentifierが必要です。この情報は、システムログにあります。

システムログのBinaryIdentifierの情報。

  1. システムログを開き、Authentication of user via MFAというログを探します。

  2. [AuthenticationContext][AuthenticatorContext][binaryIdentifier]というイベントまでスクロールします。

  3. クエリで使用するbinaryIdentifierの値をコピーします。

    たとえばWindowsでは、ChromebinaryIdentifierの値はGoogle Chromeです。macOSでは、Google ChromebinaryIdentifierEQHXZ8M8AV.com.google.Chrome.helperです。

Okta FastPassの呼び出しを許可またはブロックするアプリごとにこの操作を行います。

クエリを作成する

Okta Expression Languageを使ってアプリ・サインイン・ポリシー内にクエリを構成することで、どのバイナリまたはアプリがOkta FastPassループバックサーバーを呼び出せるかを制御できます。

クエリ 説明

バインドタイプ

認証で使用されるバインド方式。現在サポートされているバインド方式は、LOOPBACKAPPLE_SSO_EXTENSIONのみです。

  • device.caller.bindingType == "LOOPBACK"

  • device.caller.bindingType == "APPLE_SSO_EXTENSION"

検証ステータス

これは、バイナリが署名済みかどうかを表します。署名済みのバイナリは、SUCCESSで表すことができます。

これは、macOSおよびWindowsLOOPBACKバインディングでのみサポートされています。

  • device.caller.validationStatus == "SUCCESS"

バイナリ/アプリの識別子

これは、Okta FastPassの呼び出しを許可するアプリを識別します。アプリを識別するバイナリは、システムログで探すことができます。エラーが生じないように、表示どおりの値をコピーして貼り付ける必要があります。

  • device.caller.binaryIdentifier == "Google Chrome"

  • device.caller.binaryIdentifier == "43AQ936H96.org.mozilla.firefox"

  • device.caller.binaryIdentifier == ".com.apple.Safari"

アプリ・サインイン・ポリシー内でクエリを組み合わせることで、未署名のアプリによるループバックサーバーの呼び出しをブロックできます。

コピー 
device.caller.bindingType == "LOOPBACK" && 
                device.caller.validationStatus == "SUCCESS" && 
            (device.caller.binaryIdentifier == "EQHXZ8M8AV.com.google.Chrome.helper" || device.caller.binaryIdentifier == "43AQ936H96.org.mozilla.firefox")

完成したクエリをアプリサインオンポリシーのExpression Languageフィールドに追加します。

信頼できるアプリのフィルターは、バインドタイプがLOOPBACKに設定されると有効になります。機能が想定どおりに動作するように、この設定が正しく構成されていることを確認してください。

未署名のバイナリをブロックする

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. [App sign-in(アプリのサインイン)]をクリックし、編集するポリシーをクリックします。

  3. ELクエリの追加先となるルールの横の[Actions(アクション)]ドロップダウンメニューをクリックし、[Edit(編集)]をクリックします。任意で、グローバルセッションポリシーにルールを作成し、そこにELクエリを追加します。「グローバルセッションポリシー」を参照してください。

  4. 未署名のアプリによるOkta FastPassの呼び出しをブロックするためのクエリを[Expression Language(式言語)]フィールドに入力します。

    コピー 
    device.caller.validationStatus == SUCCESS
  5. このクエリを、Okta FastPassを狙ったローカル攻撃から保護するアプリのすべてのアプリ・サインイン・ポリシーに貼り付けます。
  6. [Save(保存)]をクリックします。

バイナリの許可リストの作成と管理

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]に移動します。

  2. [App sign-in(アプリのサインイン)]をクリックし、編集するポリシーをクリックします。

  3. ELクエリの追加先となるルールの横の[Actions(アクション)]ドロップダウンメニューをクリックし、[Edit(編集)]をクリックします。任意で、グローバルセッションポリシーにルールを作成し、そこにELクエリを追加します。「グローバルセッションポリシー」を参照してください。

  4. 特定のアプリにOkta FastPassの呼び出しを許可するELクエリを[Expression Language(式言語)]フィールドに書き込みます。クエリを作成するには、System LogのbinaryIdentifierフィールドに表示される値をコピーします。

    たとえば、許可リストにGoogle Chromeを追加するELクエリは、device.caller.binaryIdentifier == "EQHXZ8M8AV.com.google.Chrome.helper"となります。この「EQHXZ8M8AV.com.google.Chrome.helper」はシステムログからコピーした値です。

  5. [Save(保存)]をクリックします。

関連項目

アプリ・サインイン・ポリシーにカスタム式を追加する

デバイスのExpression Languageの属性

Okta Expression Languageリファレンス