信頼できるアプリのフィルター

早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。

Okta FastPassの信頼できるアプリのフィルターを利用することで、orgはWindowsで、およびmacOS向けのChromeFirefoxで、Okta FastPassの呼び出しが許可されるアプリケーションを管理できます。具体的には、信頼できるアプリのフィルターを利用することで、未署名のバイナリをブロックし、バイナリの許可リストを作成することができます。未署名のバイナリをブロックすることで、未署名のバイナリがOkta FastPassを呼び出すことを防止し、未承認または悪意のあるソフトウェアに対するセキュリティを強化できます。バイナリの許可リストを作成することで、Okta FastPassの呼び出しが許可されるバイナリを指定できるため、信頼できるアプリケーションのみがこの機能を持つことが保証されます。

信頼できるアプリのフィルターを有効にする

Okta FastPassの信頼できるアプリのフィルターは早期アクセス機能です。Admin Consoleでこの機能を有効にする方法は次のとおりです。

  1. Admin Console[Settings(設定)] [Features(機能)]をクリックします。

  2. Okta FastPassの信頼できるアプリのフィルターの行を探し、ボタンをクリックして機能を有効化します。

Okta FastPassの信頼できるアプリのフィルターが有効になると、Okta Expression Languageを使ってクエリを作成できるようになります。

信頼できるアプリのフィルターを構成する

binaryIdentifierを特定する

Okta Expression Languageを使って認証ポリシー内にクエリを構成することで、どのバイナリまたはアプリケーションがOkta FastPassループバックサーバーを呼び出せるかを制御できます。クエリを作成するには、ブロックまたは許可するアプリのbinaryIdentifierが必要です。この情報は、System Logにあります。

  1. System Logを開き、Authentication for the user via MFAというログを探します。

  2. AuthenticationContext AuthenticatorContext binaryIdentifierというイベントまでスクロールします。

  3. クエリで使用するbinaryIdentifierの値をコピーします。たとえばWindowsでは、ChromebinaryIdentifierの値はGoogle Chromeです。macOSでは、Google ChromebinaryIdentifierの値はEQHXZ8M8AV.com.google.Chrome.helperです。

Okta FastPassの呼び出しを許可またはブロックするアプリケーションごとにこの操作を行います。

クエリを作成する

Okta Expression Languageを使って認証ポリシー内にクエリを構成することで、どのバイナリまたはアプリケーションがOkta FastPassループバックサーバーを呼び出せるかを制御できます。

クエリ 説明
バインドタイプ

認証で使用されるバインド方式。現在サポートされるバインド方式は、LOOPBACKAPPLE_SSO_EXTENSIONのみです。

この機能は、Apple App StoreバージョンのOkta Verify for macOSには含まれません。Admin Console[Settings(設定)][Downloads(ダウンロード)]からOkta Verify for macOSをダウンロードします。

  • device.caller.bindingType == "LOOPBACK"

  • device.caller.bindingType == "APPLE_SSO_EXTENSION"

検証ステータス

これは、バイナリが署名済みかどうかを表します。署名済みのバイナリは、SUCCESSで表すことができます。

これは、macOSおよびWindowsのLOOPBACKバインディングでのみサポートされます。

device.caller.validationStatus == "SUCCESS"

バイナリ/アプリケーションID

これは、Okta FastPassの呼び出しを許可するアプリケーションを識別します。アプリケーションを識別するバイナリは、System Logで探すことができます。エラーが生じないように、表示どおりの値をコピーし、貼り付ける必要があります。

  • device.caller.binaryIdentifier == “Google Chrome”

  • device.caller.binaryIdentifier == "43AQ936H96.org.mozilla.firefox"

  • device.caller.binaryIdentifier == ".com.apple.Safari"

認証ポリシー内でクエリを組み合わせることで、未署名のアプリによるループバックサーバーの呼び出しをブロックできます。

コピー 
device.caller.bindingType == "LOOPBACK" && 
                device.caller.validationStatus == "SUCCESS" && 
            (device.caller.binaryIdentifier == "EQHXZ8M8AV.com.google.Chrome.helper" || device.caller.binaryIdentifier == "43AQ936H96.org.mozilla.firefox")

完成したクエリをアプリサインオンポリシーのExpression Languageフィールドに追加します。

信頼できるアプリのフィルターは、バインドタイプがloopbackに設定されると有効になります。機能が想定どおりに動作するように、この設定が正しく構成されていることを確認してください。

未署名のバイナリをブロックする

  1. Admin Console[Security(セキュリティ)] [Authentication Policies(認証ポリシー)]を開き、編集するポリシーをクリックします。

  2. ELクエリの追加先となる[ルール]の横の[Actions(アクション)]ドロップダウンメニューをクリックし、[Edit(編集)]をクリックします。

    1. 任意:グローバルセッションポリシーに新規ルールを作成し、そこにELクエリを追加できます。「グローバルセッションポリシー」を参照してください。

  3. 未署名のアプリケーションによるOkta FastPassの呼び出しをブロックするためのクエリを[Expression Language(式言語)]フィールドに入力します。

    • device.caller.validationStatus == SUCCESS

  4. このクエリを、Okta FastPassを狙ったローカル攻撃から保護するアプリのすべての認証ポリシーに貼り付けます。

  5. [Save(保存)]をクリックします。

バイナリの許可リストの作成と管理

  1. Admin Console[Security(セキュリティ)][Authentication Policies(認証ポリシー)]を開き、編集するポリシーをクリックします。

  2. ELクエリの追加先となる[ルール]の横の[Actions(アクション)]ドロップダウンメニューをクリックし、[Edit(編集)]をクリックします。

    1. 任意:グローバルセッションポリシーにルールを作成し、そこにELクエリを追加できます。「グローバルセッションポリシー」を参照してください。

  3. 特定のアプリケーションにOkta FastPassの呼び出しを許可するELクエリを[式言語]フィールドに書き込みます。System LogのbinaryIdentifierフィールドに表示される値をコピーしてクエリを作成します。たとえば、許可リストにGoogle Chromeを追加するELクエリは、device.caller.binaryIdentifier == "EQHXZ8M8AV.com.google.Chrome.helper"となります。この「EQHXZ8M8AV.com.google.Chrome.helper」はSystem Logからコピーした値です。

  4. [Save(保存)]をクリックします。

関連項目

フィッシング耐性のある認証

認証ポリシールールを追加する

認証ポリシーにカスタム式を追加する

デバイスの式言語の属性

Okta Expression Languageリファレンス