Identity Threat Protectionを使用した認証後セッション評価
Oktaセッション中、初回認証後に、Identity Threat Protection with Okta AI(ITP)がユーザーの活動を継続的に監視し、IPアドレスやデバイスのコンテキストに変化がないか確認します。デフォルトでは、ITPはOkta Verifyからの信号を使用します。ITPは、Okta Verifyと統合したエンドポイントセキュリティソリューションからの信号や、Shared Signals Framework(SSF)を使用して設定したセキュリティイベントプロバイダーからの信号も使用します。
IPまたはデバイスのコンテキストの変更が検出されると、ITPはOktaセッションのグローバルセッションポリシーを再評価します。また、Oktaセッションに関連するすべてのアクティブなアプリセッションに対して、認証ポリシー(デバイスコンテキスト条件を含む)も再評価します。
ITPは、グローバルセッションや認証ポリシーを更新しても、再評価を開始しません。
認証後セッション評価ポリシーを使用して、セッション違反が発生した場合にITPが実行する自動修復アクションを設定することができます。
認証後セッション違反を監視する
デフォルトでは、すべてのセッション違反が policy.auth_reevaluate.failイベントとしてSystem Logに記録され、これは環境のセキュリティ状況を把握する際に役立ちます。以下の方法でポリシー失敗イベントを表示し、履歴データを分析することができます。
- 管理者ダッシュボードの認証後セッション違反ウィジェット では、所定の期間におけるポリシー違反イベントの概要を素早く確認することができます。
- セッション違反レポートでは、詳細なインサイトがインタラクティブな形式で提供されます。このデータをエクスポートして、さらに分析を行うことができます。
- Identity Threat ProtectionのSystem Logイベントでは、特定のイベントの詳細に焦点を当てることができます。
認証後セッション評価ポリシーを強制
認証後セッション評価ポリシーを設定して、セッション違反が発生した場合に自動的な措置が取れるようにすることができます。たとえば、ユーザーに多要素認証を求めたり、Universal Logoutでアプリセッションを終了させたり、Okta Workflowsでカスタムアクションをトリガーさせたりすることができます。「認証後セッション評価ポリシーを強制」を参照してください。