用語集
Okta関連の用語とその定義です。用語集には、シングルサインオンなどの一般的なコンセプトと、Secure Web AuthenticationなどのOkta固有のコンセプトが含まれています。
- admin
- Okta管理者。管理者は、Okta管理者ダッシュボードにアクセスできます。このダッシュボードでは、エンドユーザーアカウントのプロビジョニングとデプロビジョニング、およびエンドユーザーエクスペリエンス全体の他の多くの側面を構成および維持します。
- エージェント
- Oktaの外部でサービスとして実行される軽量のソフトウェアプログラム。エージェントは通常、ファイアウォールの背後にインストールされ、OktaがオンプレミスサービスとOktaクラウドサービス間で通信できるようにします。
- アプリ
- アプリケーション。Oktaの目的では、アプリはユーザー認証を必要とする特定のタスクをいくつでも提供するWebベースのサービスです。
- 顧客
- Oktaサービスと相互作用するもの。従来のクライアントサーバーモデルでは、Oktaがサーバーです。クライアントは、エージェント、Okta Mobileアプリ、またはブラウザープラグインである可能性があります。
- クラウドコンピューティング
- 総称して「クラウド」と呼ばれる世界中のデータセンターからインターネットを介して提供されるアプリとサービス。
- コミュニティー作成
- Oktaコミュニティによって作成されたが、Oktaによってテストおよび検証されていないアプリのためのカテゴリです。
- コミュニティー検証
- Oktaコミュニティによって作成され、アクティブな使用や複数のユーザーなど、品質または信頼性の証拠を示したアプリのカテゴリ。ただし、Oktaはそれをテストしておらず、サポートしていません。
- ダウンストリームアプリケーション
- Oktaからデータを受信するアプリケーション。
- グループ
- ユーザーのカテゴリ。グループを使用すると、管理者はアプリを多数のエンドユーザーに簡単に割り当てることができます。
- IDプロバイダー(IdP)
- ユーザーアカウントを管理するサービス。IdPはサービスプロバイダーにSAMLレスポンスを送信し、シングルサインオン用にエンドユーザーを認証します。
- IdP起点フロー
- IDプロバイダー(IdP)により開始されたSAML認証。このフローでは、IdPはサービスプロバイダーにリダイレクトされるSAMLレスポンスを開始し、ユーザーのIDをアサートします。Oktaでは、ユーザーがSAMLアプリケーションのアプリアイコンをクリックした後にプロセスがトリガーされます。
- 独立系ソフトウェアベンダー(ISV)
- Oktaは、さまざまなISV(通常はエンタープライズアプリを制作するISV)と提携して、オンプレミス、クラウド、またはネイティブからモバイルへのデバイスをOktaと統合します。
- Okta Integration Network(OIN)
- 何千もの事前統合されたビジネスおよびコンシューマーアプリケーションで構成されるオンデマンドサービス。
- Okta検証済み
- Okta Integration Network(OIN)では、このステータスは、統合がOktaによって構築、テスト、および検証されたか、パートナーによって構築されてからOktaによってテストおよび検証されたことを意味します。
- Okta Mobility Management(OMM)
- 管理者がユーザーのモバイルデバイス上の仕事関連のアプリとデータを管理できるようにするサービス。管理対象アプリをダウンロードするには、ユーザーはサービスに登録する必要があります。
- orgなしでアプリを構成する
- 実際のOrganizationを表すOktaコンテナ。
- 組織単位(OU)
- ユーザー、グループ、コンピューター、または組織単位用のActive Directoryコンテナ。OUは、グループポリシー設定を割り当てたり、管理権限を委任したりできる最小の単位です。
- プロファイルソース
- プロファイルソースは、ユーザープロファイル属性の真実性のソースとして機能するアプリケーションです。ユーザーは、一度に1つのアプリケーションまたはディレクトリでのみソースにできます。
- セキュリティアサーションマークアップ言語(SAML)
- IDプロバイダーとサービスプロバイダーとの間でデータを交換することによってIDを確認し、認証を提供するオープンスタンダード。
- サービスプロバイダー(SP)
- Oktaでは、サービスプロバイダーは、ユーザーにサインインする方法としてSAMLレスポンスを受け入れる任意のWebサイトです。サービス・プロバイダーは、ユーザーをIDプロバイダー(Okta)にリダイレクトして、認証プロセスを開始します。
- SP-initiated SSO
- サービスプロバイダーで開始されたシングルサインオン。サービスプロバイダー(SP)によって開始されるSAML認証。これは、エンドユーザーがサービスプロバイダーのリソースにアクセスを試みたか、サービスプロバイダーに直接サインインしたときにトリガーされます。
- シングルサインオン(SSO)
- SSOプラットフォームでは、ユーザーは1つの名前とパスワードを入力して、複数のアプリケーションにアクセスできます。Oktaは、ファイアウォールの背後とクラウドの両方のアプリケーションに対して、PC、ラップトップ、タブレット、およびスマートフォン間でシームレスなSSOエクスペリエンスを提供します。
- Secure Web Authentication(SWA)
- SAMLまたは独自のフェデレーションサインイン方式をサポートしないアプリ用にOktaによって開発されたSSO統合方式。ユーザーがOktaホームページからSWAアプリにアクセスすると、Oktaは保存された暗号化された資格情報をアプリのサインインページに投稿します。
- 範囲
- リソースにアクセスしたいというクライアントによる指示。
- アサーション・コンシューマー・サービス(ACR)URL
- これは、SAMLレスポンスが投稿されるエンドポイントであり、SPによってIDプロバイダーに提供される必要があります。多くの場合、サービスプロバイダー(SP)のサインインURLと呼ばれます。
- シングルログアウト
- SAMLサービスプロバイダーがIDプロバイダーにログアウト要求を送信し、IDプロバイダーとサービスプロバイダーの現在のセッションの両方を閉じるログアウト方法。Oktaは、SP起点ログアウトのみをサポートします。
- 強制認証
- ユーザーがアプリにアクセスしようとするときにIDプロバイダーを介して再認証する必要がある管理オプション。アクティブなセッションがある場合でも、ユーザーは再認証する必要があります。
- ディープリンキング
- ユーザーがアプリケーションの一部に直接アクセスできるようにします。この機能がサポートされている場合、ユーザーはディープリンクにナビゲーションし、SPから開始されたSAML SSOを使用して、アプリケーションに対して認証を行えます。認証後、ユーザーはホームページではなくSPの特定のページにリダイレクトされます。
- ドメイン(domain)
- Okta organizationの属性。Oktaは完全修飾ドメイン名を使用します。つまり、常にトップレベルドメイン(.com、.euなど)が含まれますが、プロトコル(https)は含まれません。
- スキーマ検出
- OktaがOktaユーザープロファイルに追加できるアプリプロファイルの属性を識別するプロセス。
- 識別子先行
- サインインページに[Username(ユーザー名)]フィールドのみを表示する認証方法。Oktaは、識別子先行の認証を使用して、サインインを完了するために使用するIdPを決定します。
- 早期アクセス
- OktaサポートにOrgの有効化を依頼することでOrgをテストできる、オプトイン機能。スーパー管理者は、Okta Admin Consoleで選択したEA機能を有効または無効にすることもできます。
- 一般利用可能
- 各顧客のSKUに応じてすべてのorgで利用できる機能について説明します。
- モバイルアプリケーション管理(MAM)
- モバイルビジネスアプリへのアクセスを制御するソフトウェアとサービス。MAMは、会社および個人のデバイスで動作します。
- Active Directory(AD)
- Microsoft Windowsドメインネットワーク用のオンプレミスユーザーアカウント管理サービス。
- Okta Universal Directory
- 無制限の数のユーザーとすべてのタイプの属性を格納するOktaユーザーディレクトリ。Okta Integration Networkのすべてのアプリケーションは、LDAPまたはAPIを使用してOkta Universal Directoryにアクセスできます。
- 作成、読み取り、更新、非アクティブ化(CRUD)
- Okta Universal Directory内のユーザーを管理するためにOktaで使用される一般的なデータベース操作。Oktaでは、「削除(delete)」ではなく「非アクティブ化(deactivate)」を使用することにご注意ください。
- プロファイルソーシング
- ユーザーオブジェクト属性とそのライフサイクル状態のフローとメンテナンスを定義する参照/インポートメソッド。Oktaユーザーのプロファイルがアプリケーションまたはディレクトリによってソースされている場合、Oktaプロファイルの属性とライフサイクル状態はそのリソースから排他的に取得されます。プロファイルはOktaで編集できません。
- プロビジョニング
- ユーザーが必要とするソフトウェアとサービスへのアクセスを許可する企業全体のプロセス、およびそれらのリソースの構成、デプロイメントと管理。
- インバウンドSAML
- 外部IDプロバイダーのユーザーがOktaへのシングルサインオン(SSO)できるようにします。
- プレビューサンドボックス
- Oktaの完全に機能するバージョンへの完全なアクセスを提供するサンドボックス環境。機能をユーザーにプッシュする前にテストできるPreview Org。
- アップストリーム
- ディレクトリまたはアプリからOktaへのネットワークトラフィック。
- System for Cross-domain Identity Management(SCIM)
- ユーザープロビジョニングの自動化を可能にするオープンスタンダード。SCIMは、IDプロバイダー(複数の個別ユーザーを持つ企業など)とサービスプロバイダー(エンタープライズSaaSアプリなど)の間でユーザーIDデータを通信します。
- ダウンストリーム
- ネットワークトラフィックの方向を示します。たとえば、Okta Universal Directoryでユーザーアカウントが作成された後、アカウント情報とそれ以降の更新がターゲットアプリケーションにプッシュダウンされます。
- 認証
- Webサイトまたはサービスへのアクセスを要求するエンティティのIDを確認するサインインプロセス。エンティティには、個人またはAPIリクエストなどの自動ユーザーエージェントが含まれる場合があります。
- Lightweight Directory Access Protocol (LDAP)
- X.500ベースのディレクトリサービスにアクセスするために使用される軽量のクライアントサーバープロトコル。LDAPは、伝送制御プロトコル/インターネットプロトコル(TCP / IP)またはその他のコネクション型転送サービスで実行されます。
- ジャストインタイム(JIT)プロビジョニング
- ユーザーが初めてサインインしたときにユーザーのアカウントを作成するSAMLベースの方法。JITのバリエーションは、事前に作成されてOktaにインポートされたユーザーを変更できます。これらのシナリオでは、ステージング状態または非アクティブ化状態のユーザーは、最初にサインインしたときにアクティブ化されます。
- OpenID Connect(OIDC)
- 認可フレームワーク(OAuth 2.0)上の認証レイヤー。OIDC標準は、OpenID Foundationによって制御されています。
- ソーシング
- ユーザーオブジェクト属性のフローとメンテナンスを定義するプロセス。ソーシングは、フルプロファイルレベルまたは属性レベルで適用できます。Oktaソースとは、Oktaプロファイルで行われた編集が、関連するすべてのアプリケーションに流れることを意味します。アプリソースとは、ユーザーのアプリケーションプロファイル(Active Directoryなど)で行われた編集がOktaプロファイルに流れることを意味します。
- IdPが起点となるSSO
- IDプロバイダーで開始されたシングルサインオン。IdPセキュリティドメインから開始されたシングルサインオン操作を意味します。IdPフェデレーションサーバーはフェデレーションSSO応答を作成し、応答メッセージと任意の動作状態を使用してユーザーをSPにリダイレクトします。
- AWS CloudFormation
- AWSクラウド環境のすべてのインフラストラクチャリソースを記述およびプロビジョニングするための共通言語を提供します。CloudFormationを使用すると、管理者は単純なテキストファイルを使用して、すべてのリージョンとアカウントのアプリケーションに必要なすべてのリソースを安全にモデル化およびプロビジョニングできます。
- ソフトウェアアプライアンス
- VMWare、VMWare vSphere、AWS、または同様のシステムで実行される構成可能なアプライアンス。Okta Access Gatewayは、クライアントインフラストラクチャ用に構成できる、事前構成されたダウンロード可能なVMイメージです。
- クラスター
- 単一の目的で一緒に使用される、特定のインフラストラクチャ内のコンピュータインスタンス(物理または仮想)のグループ。
- 完全修飾ドメイン名(FQDN)
- 転送プロトコル(http / https)を含むインターネットサイトの完全なURL。
- Kerberos
- ノードが安全でないネットワーク上でIDを安全に証明できるようにするコンピュータネットワーク認証プロトコル。
- engine x(NGINX)
- 逆プロキシ、ロードバランサー、メールプロキシ、HTTPキャッシュとして使用可能なWebサーバー。
- ネットワークインターフェイスカード(NIC)ボンディング
- トラフィックが単一のネットワーク接続を飽和させないようにするための、結合された仮想ポートへの2つのイーサネットポートの組み合わせ。
- インスタンス
- 物理マシンまたは仮想マシンでホストされているソフトウェアアプライアンスまたはその他のリソースの発生。
- アップストリームアプリケーション
- Oktaにデータを提供するプロビジョニングアプリケーション。
- リンクユーザー
- ユーザーは、次のいずれかの方法でOktaのデバイスレコードにリンクされます。(1)ユーザーがデバイスからOktaセッションを確立し、セッション中にOktaにデバイスIDを提供する場合。(2)Okta APIを介して。
- オンプレミスプロビジョニングエージェント
- CentOSまたはRHEL(Linux)あるいはWindows(x86/x64)サーバーで実行され、ファイアウォールの内側に配置される軽量エージェント。オンプレミスプロビジョニングエージェントは、Oktaからプロビジョニング命令を取得し、SCIMメッセージを適切なSCIMエンドポイントまたはコネクターに送信します。
- SCIM サーバー
- プロビジョニングエージェントによって送信されたSCIMメッセージを処理できるエンドポイント。このエンドポイントは、SCIMをネイティブにサポートするアプリケーション、またはプロビジョニングエージェントとオンプレミスアプリケーションの間の仲介役として機能するSCIMコネクタにすることができます。
- 秘密鍵
- エンドユーザーがQRコードをスキャンせずにモバイルデバイスをOkta Verifyに登録できるようにする、Oktaで生成された文字列。
- エンドユーザー
- 管理制御を持たないorg内の人々。マイアプリケーションホームページのアイコンからアプリに認証できますが、アカウントは管理者によって管理されます。
- サポート終了(EOL)
- Admin Consoleでは使用できなくなった廃止済みの機能。
- 廃止
- アクティブにサポートされなくなった機能のライフサイクル状態。廃止の機能をorgに割り当てることはできません。
- 多要素認証(MFA)
- エンドユーザーがアプリにサインインする際の本人確認に使用される追加のセキュリティレイヤー。
- 時間ベースのワンタイムパスワード(TOTP)
- TOTPは、秘密鍵と現在の時刻から一意のコードが生成される多要素認証の一種です。コードがユーザーに送信され、ユーザーはユーザー名とパスワードとともにコードをサインインフォームに入力します。また、コードは(TOTPジェネレーターの構成方法に応じて)30秒または60秒後に期限切れになり、使用できなくなります。
- エージェントレス・デスクトップ・シングル・サインオン(ADSSO)
- この機能を有効にすると、ユーザーがWindowsネットワークにサインインするとき、Oktaによって自動的に認証されます。ユーザーは1回サインインするだけでよく、Oktaを介してアクセスするアプリケーションごとに個別の資格情報を使用する必要がありません。
- Okta FastPass
- Windows、iOS、Android、MacOS上のOktaのSAML、WS-Fed、OIDCアプリに対するパスワードレス認証。
- 帯域外(OOB)
- 2つのエンドポイント間のプライマリ通信とは異なる方法を使用して2つのエンドポイント間で送信されるシグナル。Okta Verifyを参照する場合、帯域外はサインインURLを使用した手動デバイス登録を参照します。
- 所有証明(PoP)
- キーペアの所有者が公開鍵に関連付けられた秘密鍵を実際に持っていることを保証する検証プロセス。
- 相互トランスポートレイヤーセキュリティ(mTLS)
- 双方向認証を保証する暗号化プロトコル。
- 管理対象デバイス
- 選択したデバイス管理ソリューションによって制御され、[セキュリティ]>[デバイス統合]で構成され、Okta Verifyに登録されたデバイス。
- 非管理対象(デバイス)
- Okta Verifyに登録されているが、選択したデバイス管理ソリューションによって管理されていないか、[Security(セキュリティ)]>[Device integrations(デバイス統合)]でデバイス管理用に構成されていないデバイス。
- Okta Access Gateway(OAG)
- SAMLまたはOIDCをネイティブにサポートしないWebアプリケーションを保護するように設計された、リバースプロキシベースの仮想アプリケーション。Okta Access Gatewayは、HTTPヘッダーとKerberosトークンを使用してレガシーアプリケーションと統合し、URLベースの認可などを提供します。
- デバイス登録
- デバイス上でOkta Verifyのアプリインスタンスにユーザーをバインドするプロセス。
- 登録済みデバイス
- ユーザーがOkta Verifyにバインドされるデバイス。各登録済みデバイスはOkta Universal Directoryにおける一意のオブジェクトです。
- ユーザー検証
- アクセスをリクエストしている人物の資格情報(知っていること、持っているもの、あなたであること)を、以前に証明され、Oktaに保存され、要求しているIDに関連付けられているものと比較することによって、要求しているIDが正しいことを確認する、または否定するプロセス。Oktaでは、ユーザー検証は、FIDO2(WebAuthn)AuthenticatorやOkta FastPassを使用する場合など、ユーザーが生体認証またはセキュリティキー検証を求められる場合も指します。(米国商務省国立標準技術研究所より部分的に採用された用語)
- デバイス登録
- ユーザーアカウントをOkta Verifyに追加するプロセス。
- インライン登録
- orgからアプリにアクセスしてOkta Verifyにユーザーアカウントを追加するプロセス。
- IDおよびアクセス管理(IAM)
- ソフトウェアシステム内のユーザーとグループだけでなく、それぞれがアクセスできるリソースと実行できる機能も体系的にまとめるプロセス。IAMは認証、認可とアクセス制御に対処します。
- カスタマーアイデンティティアクセス管理(CIAM)
- 組織が、アプリケーションへのカスタマーアクセスを制御し、データベース、オンラインプロファイル、およびその他の利用可能な情報とリンクすることによりカスタマーアイデンティティを特定し、カスタマープロファイル情報を安全に取得して管理できるようにするソフトウェアソリューション。
- Authenticator保証レベル(AAL)
- 認証プロセスの強度をランク付けするための業界標準の分類。低い(AAL1)高い(、AAL2)非常に高い(、AAL3)の3つのレベルがあります。
- Trusted Platform Module(TPM)
- ほとんどのデスクトップおよびモバイルデバイスに組み込まれているマイクロチップ。主に暗号化鍵を含む、改ざん防止のセキュリティ機能を提供するために設計されています。
- 公開鍵基盤(PKI)
- デジタル証明書と証明書チェーンを作成や維持するために使用される一連のツールとポリシー。
- 連邦情報処理標準(FIPS)
- 暗号化モジュールのベンチマークおよび認定プログラム。
- 統合Windows認証
- ユーザーがWindowsネットワークにサインインするときは常に、OktaおよびOktaを介してアクセスされるアプリによってユーザーが自動的に認証されるようにします。Oktaでは新しいIWA機能を追加することはせず、限定的なサポートとバグ修正のみを提供します。
- 認証局(CA)
- 公開鍵の所有権を確認するデジタル証明書の発行者。
- 証明書失効リスト(CRL)
- 有効期限が切れる前に取り消された、または無効とマークされたデジタル証明書のインデックス。CRLのデジタル証明書は信頼するべきではありません。
- SCEP(Simple Certificate Enrollment Protocol)
- URLを介してデバイスにデジタル証明書を発行するための自動登録プロセス。
- ワンタイムパスワード(OTP)
- 多要素認証の一種で、エンドユーザーは、テキストメッセージや音声通話、またはGoogle AuthenticatorなどのAuthenticatorアプリを通じてシークレットコードを受け取ります。ユーザーは、サインイン時にパスワードに加えてこのコードを入力します。
- Okta Sign-In Widget
- Okta Sign-In Widgetは、Webおよびモバイルアプリケーションのユーザーを認証するために使用できる、完全な機能を備えたカスタマイズ可能なサインインエクスペリエンスを提供するJavascriptウィジェットです。
- ユーザー検証
- ユーザーが自身のIDを確認する方法たとえば、生体認証など。
- URI(Uniform Resource Identifier)
- Webページ、ブック、ドキュメントなどの特定のリソースを識別するために使用される一意の文字シーケンス。URLとは異なり、場所情報(https://)は含まれません。
- sign in(サインイン)
- 一連のユーザー資格情報を使用してアプリに安全にアクセスします。同義語には、(シングルサインオンやサインオンポリシーなどの)サインオンやログインなどがあります。
- クレーム
- OAuth2セキュリティトークンに含まれるサブジェクト(ユーザー)に関するステートメント。クレームは、たとえば、名前、ID、キー、グループ、または特権に関するものです。セキュリティトークンのクレームは、トークンの種類、ユーザーの認証に使用される資格情報の種類やアプリケーションの構成によって異なります。
- Aerial org
- Aerialアカウントの任意のorg内のすべてのAerial APIアクションの認可サーバーを保持するorg。Aerial orgとして永続的に機能する1つのorgを選択します。スーパー管理者は、Aerial org内にAPIクライアントを作成してAerialアカウントにアクセスできます。Aerial orgには、Okta Aerialアクションに関連付けられたすべてのシステムログイベントも含まれます。
- Aerialアカウント
- Okta内の複数orgの周囲の管理レイヤー。Aerialアカウントはorgの外部に存在し、Aerialアカウントにリンクされた任意の本番またはPreview orgを管理できます。
- Product
- Oktaが決定した機能セット。
- 機能
- 明確な機能性。機能は製品内にバンドルされますが、たとえば早期アクセス機能のように個別に提供される場合もあります。
- 証明書利用者識別子(RPID)
- 証明書利用者はIdPからSAMLアサーションを受信します。
- SSF(Shared Signals Framework)
- orgがサードパーティのセキュリティプロバイダーからリスクシグナルを受信できるようにするIdentity Threat Protection機能。
- Universal Logout
- IDベースの脅威に対応してサポート対象アプリのユーザーセッションを終了するIdentity Threat Protection機能。
- セルフサービス登録(SSR)
- org内のユーザーが自分のアカウントを作成できるようにするプロセス。Identity Engineでは、これはプロファイル登録ポリシーを使用して実現できます。
- セルフサービスによるパスワードリセット(SSPR)
- ユーザーが管理者やヘルプデスク担当者の助けを借りることなしに自分のパスワードをリセットできるようにする機能。この機能は、パスワードポリシーまたはOktaアカウント管理ポリシーで構成できます。
- リソース
- Okta orgで管理、保護、またはアクセスできるオブジェクト(アプリ、ユーザー、グループなど)。
- Admin Console
- 管理者がOkta環境を管理および構成できるようにする一元化されたインターフェイス。
- 管理者ダッシュボード
- 管理者がOktaにサインインした際に表示される最初のページ。管理者ダッシュボードでは、orgの使用状況とアクティビティに関する要約を確認したり、問題や完了すべき未処理の作業がある場合に通知を受け取ったりすることができます。
- インラインフック
- Oktaプロセスフローの特定のポイントで、Oktaからサービスに送信されるアウトバウンドコール。これによって、カスタム機能がこれらのフローに統合されます。
- Okta End-User Dashboard
- エンドユーザーに割り当てられたエンタープライズアプリへのアクセスを提供するプラットフォーム。
- イベントフック
- 独自のサービス内でプロセスフローをトリガーする、Oktaからのアウトバウンドコール。orgで特定のイベントが発生したときに送信され、イベントに関する情報を提供します。
- Okta ThreatInsight
- Oktaの顧客ベース全体のサインインアクティビティに関するデータを集約して、潜在的に悪意のあるIPアドレスを検出し、資格情報を使った攻撃を防止するセキュリティ機能。
- 拡張動的ゾーン
- 管理者がロケーション、IPサービスカテゴリー、自律システム番号(ASN)などIPアドレスの特性に基づいてネットワーク境界を定義できるようにするセキュリティ機能。
- デバイス動作
- エンドユーザーがorgにサインインする際のデバイスの変更に基づいて、ポリシーを定義します。
- IP動作
- エンドユーザーがorgにサインインする際のIPアドレスの変更に基づいて、ポリシーを定義します。
- ロケーションの動作
- エンドユーザーがorgにサインインする際の地理的ロケーションの変更に基づいて、ポリシーを定義します。
- 動的ゾーン
- ロケーション、IPアドレスのタイプ、自律システム番号(ASN)に基づいてネットワーク境界が定義されたゾーン。
- IPゾーン
- 管理者が一連のIPアドレスの周りにセキュリティ境界を定義できるようにするネットワークゾーン。リクエストのIPアドレスに基づいて、org内のデバイスやコンピューターへのアクセスを制限または限定するために使用されます。
- 速度動作
- 連続する2回のサインイン試行の間における、エンドユーザーの地理的ロケーションの変化に基づいたポリシーの定義に利用できる動作。
- Okta Browser Plugin
- ユーザー資格情報を必要とするが、SAMLをサポートしないSSOアプリを利用できるようにするプラグイン。
- Okta Personal
- Oktaのコンシューマーパスワードマネージャー。これにより、ユーザーは1か所ですべてのアプリを確認でき、パスワードの保管、保存、生成、自動入力を安全に行うことができます。
- リスク
- 侵害の可能性(低、中、高のレベルに分類)。Adaptive Multifactor Authenticationではリスクを認証時点で計算します(ログインリスク)。Oktaでは、Identity Threat Protectionを利用し、セッションリスクの概念を導入して、認証後のリクエストをすべて評価します。
- Identity Threat Protection(ITP)
- アイデンティティ脅威の検知と対応(ITDR)プラットフォームは、ユーザーとそのセッションを継続的に評価し、Okta Risk Engineやセキュリティイベントプロバイダーからリスクシグナルを受信します。これは、現在のIDセキュリティソリューション(ThreatInsight、振る舞い検知、リスクベースの認証など)を組み合わせて完全なアイデンティティ保護を提供します。
- モバイルデバイス管理(MDM)
- 企業がノートパソコン、電話、タブレットなど個人と企業所有のモバイルデバイスの両方を保護・管理できるようにするソリューション。IT部門はセキュリティコンプライアンス(データの暗号化、ポリシーの強制適用)、リモート構成やトラブルシューティング、インベントリ(デバイスのトラッキング)にMDMを使用できます。
- Device Trust
- Oktaアクセス管理ソリューションは、信頼できるデバイスからのみOktaで保護されたアプリにアクセスできるようにすることで、機密性の高い企業リソースを保護します。
- Okta Verify
- ユーザーが自分のOktaアカウントおよびOktaで保護されたその他のリソースに安全にサインインできるようにする多要素認証(MFA)アプリ。ユーザーは、GitHub、Facebook、GoogleなどのMFAが必要なOkta以外のサイトにアクセスする場合に、Okta Verifyで認証することもできます。
- Okta Verify
- ユーザーが自分のOktaアカウントおよびOktaで保護されたその他のリソースに安全にサインインできるようにするAuthenticatorアプリ。ユーザーは、GitHub、Facebook、Googleなどの認証が必要なOkta以外のサイトにアクセスする場合に、Okta Verifyで認証することもできます。
- ハブアンドスポーク
- 合併や買収のシナリオに対応したOktaアーキテクチャモデル。所属組織が他社を買収し、買収された企業がOktaを使用している場合、ハブアンドスポーク環境をセットアップし、ユーザーとグループをOkta Org2Orgアプリと同期できます。この手法により、被買収企業の従業員は親orgのリソースにすぐにアクセスできるようになります。
- レルム
- 単一の組織内でユーザー層を効率的に管理できるようにする機能で、ユーザーとグループの管理を外部のコラボレーターまたは事業部に委任できます。レルムを使用すると、Universal Directoryでユーザーを分割しながら、ユーザーにリソースを共有させることができます。各レルムは、Okta org内で別々に保存および管理されるユーザーで構成されます。
- プロファイルプッシュ
- プロビジョニングイベントが発生したときにOktaからアプリにプッシュされる属性を選択できる機能。一方向性で、データはOktaからターゲットアプリにのみプッシュできます。
- クレーム共有
- リソースへの安全なアクセスを実現するための、異なるorg間でのID関連情報(クレーム)の交換。
- セキュリティイベントプロバイダー
- Shared Signals Framework(SSF)をサポートし、Oktaがセキュリティ関連イベントの交換を提携しているサードパーティベンダー。
- 継続的アクセス評価プロファイル(CAEP)
- Shared Signals Frameworkの一部であるCAEPを使用すると、orgはユーザーコンテキストまたは保証の変更に基づいてリアルタイムでアクセス決定を下すことができます。
- 組織単位(OU)
- ユーザー、グループ、デバイスなどのADリソースを編成するActive Directory(AD)内のコンテナ。これにより、管理制御の委任が可能になり、データがより小さいセグメントに編成されるため、詳細な管理者タスクを実行できます。
- ファーストパーティアプリ
- Okta製品インターフェイスのコンポーネントとして機能するOktaが作成したアプリ。たとえば、Okta Admin Console、Okta End-User Dashboard、Okta End-User設定などです。Oktaは、シングルサインオントランザクションにOIDCを使用してこれらのアプリと通信します。
- セキュリティイベント
- システムまたはネットワーク内で監視できるセキュリティに関連するあらゆる発生。潜在的なセキュリティリスク、ポリシー違反、または進行中の攻撃を示す可能性のある変更またはアクティビティです。
- アクセス制御
- 制限されたリソースを表示または更新する個々のリクエストを許可または拒否します。アクセスは、リソース、リクエストの性質、ユーザーが認証されているかどうか、ユーザーの認可、関連するポリシー、その他のデータに基づきます。
- 認可
- ユーザーがアクセスできるリソースと実行できる機能を定義するプロセスとサービス。認可はアクセス制御の一部です。
- エンタイトルメント管理
- リソースへのアクセスを制御するテクノロジー。許可、権限、または認可とも呼ばれるアクセス権の付与、強制適用、取り消しを行います。さまざまなITプラットフォーム、アプリ、デバイス全体で、大まかなエンタイトルメントまたは詳細なエンタイトルメントを管理します。
- フェデレーション
- 複数のエンティティ間や信頼ドメイン全体でID情報を共有するための標準に同意するサービスプロバイダーのグループ。これらのツールと標準によって、認証、認可、その他の目的で、信頼できる識別および認証エンティティから別のエンティティにID属性を転送できます。これにより、識別された個人とIDプロバイダーにSSOの利便性が提供されます。
- Federal Identity Management(FIM)
- 連携認証済みのIDプロバイダー(IdP)間でユーザーIDをリンクするための戦略。これらのIdPにSSO機能を提供し、SSOと同じ利点がありますが、ドメインの境界を超えて顧客、パートナー、ソーシャルネットワークに適用されます。これにより、ユーザーは既存の外部サインインIDでアプリにアクセスできます。
- role
- ユーザーに割り当てられる属性。特定のアクセス権限のセットを付与します。特定のロールを保持する全員がそのロールに関連付けられている権限を持ちます。
- ワークフォースアイデンティティ
- orgのアプリとリソースへの従業員や請負業者のアクセスを管理するためのIAMモデル。リスクを管理することが目的です。
- WS-Federation(WS-Fed)
- SSOで使用されるXMLベースのプロトコル。通常、WindowsベースのレガシーWebアプリやMicrosoft Office 365へのサインオンに使用されます。その場合、Oktaは認可サーバーまたはIDプロバイダーとして機能します。