デバイスに紐づいたシングルサインオン
早期アクセスリリース。「セルフサービス機能を有効にする」を参照してください。
デバイスバウンドシングルサインオンはOkta Device Accessの機能であり、ユーザーの認証を特定のデバイスに紐づけて、ハードウェア保護されたIDセッションを作成できます。
セッションを暗号でデバイスのハードウェアに紐づけることで、セッションのハイジャックやクッキーの盗難を防ぎます。フィッシング耐性のあるセッションがデバイス上のすべてのブラウザーとネイティブアプリで共有されるため、ユーザーが受け取るMFAプロンプトの数が大幅に削減されます。
仕組み
デバイスバウンドシングルサインオンは、Okta-joinedのデバイスの状態に依存します。Device Access SCEP証明書を介してUniversal Directoryに登録し、オペレーティングシステムプロファイルをプライマリOktaユーザーにリンクすると、そのデバイスはOkta-joinedになります。
ユーザーがOkta-joinedのデバイスで認証されると、Oktaは、デバイスの安全なハードウェアに保存されたハードウェア格納型キーを使用してデバイスセッションを作成します。
-
Windows:トラステッドプラットフォームモジュール(TPM)
-
macOS:Secure Enclave
セッションの作成
ハードウェアに紐づいたセッションが確立されるタイミングはオペレーティングシステムによって異なります。
-
Windows:ユーザーがDesktop MFAを使用してオンライン要素でWindowsにサインインするとセッションが開始されます。あるいは、ユーザーがオフライン要素を使用してサインインした場合、Oktaで保護されたアプリへの最初の認証の後にセッションが開始されます。
-
macOS:デバイスのロック解除やサインインでは、デバイスセッションは作成されません。ユーザーがブラウザーでオンライン認証を実行するとセッションが開始されます。
セキュリティと検証
標準のブラウザークッキーとは異なり、デバイスバウンドSSOのセッションは、デバイスのハードウェアに厳密に関連付けられます。
Oktaで保護されたアプリにユーザーがアクセスを試みると、Oktaはアプリサインオンポリシーに対してデバイスセッションを評価します。
デバイスセッションで提供された要素がアプリサインインポリシーで定義された保証要件を満たす場合、Oktaはユーザーにシームレスなアクセスを付与します。
デバイスバウンドセッションの期間
デバイスバウンドセッションは、ユーザーがデバイスからサインアウトするか、管理者が次のいずれかの操作を実行するまで、アクティブのままです。
-
ユーザーの一時停止、非アクティブ化、または削除。「ユーザーアカウントの非アクティブ化と削除」を参照してください。
-
デバイスの一時停止、非アクティブ化、または削除。「デバイスライフサイクル」を参照してください。
-
ユーザーのOktaセッションの削除。「すべてのユーザーセッションの失効」を参照してください。
デバイスバウンドセッションは、ユーザーがデバイスをロックしてもアクティブのまま残り、デバイスのロックを解除すると再開されます。