カスタマイズされたサインインページとエラーページのコンテンツセキュリティポリシー(CSP)を適用する
Oktaドメイン名を独自のドメイン名に置き換えることで、Okta orgをカスタマイズできます。カスタムドメインのコンテンツセキュリティポリシー(CSP)をカスタマイズし、カスタマイズされたサインインページとエラーページからリンクできるURLを制御できます。
HealthInsightタスクの推奨事項
カスタムドメインのCSPに信頼できる外部リソースのURL(画像へのリンクなど)を追加します。これにより、承認されたコンテンツのみを表示し、潜在的に悪意のあるコードがそれらのページに導入されるのを防ぐことができます。
| Oktaの推奨事項 | カスタムドメインのCSPに信頼できる外部リソースのURLを追加し、サインインページとエラーページのコードにこれらのリンクを追加します。 |
| セキュリティへの影響 | 高 |
| エンドユーザーへの影響 | 中 |
カスタムドメインのCSPをカスタマイズする
-
Admin Consoleでに移動します。
- カスタマイズするブランドをクリックします。
- サインインページ用の信頼できる外部リソースを追加するには、サインインページ(Customize)セクションのカスタマイズ(Customize)(Sign-in page)をクリックします。エラーページ用の信頼できる外部リソースを追加するには、エラーページ(Customize)セクションのカスタマイズ(Customize)(Error pages)をクリックします。
- 設定(Settings)をクリックします。
- コンテンツセキュリティポリシー(Edit)セクションの編集(Edit)(Content Security Policy)をクリックいます。
- 信頼できる外部リソース(Trusted external resources)のリストを作成します。追加(Add)をクリックし、信頼できる外部リソースのURLをフィールドに入力するか、貼り付けます。 注:
このリストに含まれていない外部リソースはすべて信頼できないと見なされ、サインインページまたはエラーページでの表示を許可されません。
- レポートの詳細を送信する検証レポートURI(Validations report URI)を入力します。
- 強制適用(Enforcement)オプションを選択します。
- CSPで信頼されないリソースをブロックするには、強制適用の対象(Enforced)を選択します。
- テスト目的のみの場合は、Not enforced (Report-only mode)(強制適用の対象外(レポートのみモード))を選択します。
- 下書きに保存(Save to draft)をクリックします。
- プレビュー(Preview)をクリックして変更内容を確認します。
- 公開(Publish)をクリックします。