デバイスバウンドシングルサインオン
早期アクセスリリース。セルフサービス機能を有効にするを参照してください。
デバイスバウンドシングルサインオンはOkta Device Accessの機能であり、ユーザーの認証を特定のデバイスに紐づけて、ハードウェア保護されたセッションを作成できます。
セッションを暗号でデバイスのハードウェアに紐づけることで、セッションのハイジャックやクッキーの盗難を防ぎます。フィッシング耐性のあるセッションがデバイス上のすべてのブラウザーとネイティブアプリで共有されるため、ユーザーが受け取るMFAプロンプトの数が大幅に削減されます。
仕組み
デバイスバウンドシングルサインオンは、Okta-joinedのデバイスの状態に依存します。デバイスアクセス SCEP証明書を介してOkta Universal Directoryに登録し、オペレーティングシステムプロファイルをプライマリOktaユーザーにリンクすると、そのデバイスはOkta-joinedになります。
ユーザーがOkta-joinedのデバイスで認証されると、Oktaは、デバイスの安全なハードウェアに保存されたハードウェア格納型キーを使用してデバイスセッションを作成します。
-
Windows:トラステッドプラットフォームモジュール(TPM)
-
macOS:Secure Enclave
セッションの作成
ハードウェアに紐づいたセッションが確立されるタイミングはオペレーティングシステムによって異なります。
-
Windows:ユーザーがDesktop MFAを使用してオンライン要素でWindowsにサインインするとセッションが開始されます。あるいは、ユーザーがオフライン要素を使用してサインインした場合、Oktaで保護されたアプリへの最初の認証の後にセッションが開始されます。
-
macOS:デバイスのロック解除やサインインでは、デバイスセッションが作成されます。
デバイス状態(Device State)が登録済み(Registered)に設定されたルール条件でユーザーがアプリへのアクセスを試みると、Oktaを使ってハードウェアバウンドセッションが確立されます。このルールは、ポリシー内の任意の優先度レベルにできます。
ユーザーがデバイスにサインインするときに一般的に最初にアクセスするアプリに対しても、このルールが設定されていることを確認します。これには、たとえばOkta End-User Dashboard、VPNクライアント、生産性向上アプリが含まれます。
セキュリティと検証
標準のブラウザークッキーとは異なり、デバイスバウンドSSOのセッションは、デバイスのハードウェアに厳密に関連付けられます。
Oktaで保護されたアプリにユーザーがアクセスを試みると、Oktaはアプリサインオンポリシーに対してデバイスセッションを評価します。
デバイスセッションで提供された要素がアプリサインインポリシーで定義された保証要件を満たす場合、Oktaはユーザーにシームレスなアクセスを付与します。
デバイスバウンドセッションの期間
デバイスバウンドセッションは、ユーザーがデバイスからサインアウトするか、管理者が次のいずれかの操作を実行するまで、アクティブのままです。
-
ユーザーの一時停止、非アクティブ化、または削除。ユーザーアカウントの非アクティブ化と削除を参照してください。
-
デバイスの一時停止、非アクティブ化、または削除。デバイスライフサイクルを参照してください。
-
ユーザーのOktaセッションの削除。すべてのユーザーセッションの失効を参照してください。
デバイスバウンドセッションは、ユーザーがデバイスをロックしてもアクティブのまま残り、デバイスのロックを解除すると再開されます。
次の手順