カスタマイズされたサインインページとエラーページのコンテンツセキュリティポリシー(CSP)を適用する
Oktaドメイン名を独自のドメイン名に置き換えることで、Okta orgをカスタマイズできます。カスタムドメインのコンテンツセキュリティポリシー(CSP)をカスタマイズし、カスタマイズされたサインインページとエラーページからリンクできるURLを制御できます。
HealthInsightタスクの推奨事項
カスタムドメインのCSPに信頼できる外部リソースのURLを追加します(画像へのリンクなど)。これにより、承認されたコンテンツのみを表示し、潜在的に悪意のあるコードがそれらのページに導入されるのを防ぐことができます。
| Oktaの推奨事項 | カスタムドメインのCSPに信頼できる外部リソースのURLを追加し、サインインページとエラーページのコードにこれらのリンクを追加します。 |
| セキュリティへの影響 | 高 |
| エンドユーザーへの影響 | 中 |
カスタムドメインのCSPをカスタマイズする
-
Admin Consoleでに移動します。
- カスタマイズするブランドをクリックします。
- サインインページ用の信頼できる外部リソースを追加するには、[サインインページ]セクションの[Customize(カスタマイズ)]をクリックします。エラーページ用の信頼できる外部リソースを追加するには、[エラーページ]セクションの[Customize(カスタマイズ)]をクリックします。
- [設定]をクリックします。
- [コンテンツセキュリティポリシー]セクションの[Edit(編集)]をクリックいます。
- 信頼できる外部リソースのリストを作成します。[Add(追加)]をクリックし、信頼できる外部リソースのURLをフィールドに入力するか、貼り付けます。
このリストに含まれていない外部リソースはすべて信頼できないと見なされ、サインインページまたはエラーページでの表示を許可されません。
- レポートの詳細を送信する[Validations report URI(検証レポートURI)]を入力します。
- [Enforcement(強制適用)]オプションを選択します。
- CSPで信頼されないリソースをブロックするには、[Enforced(強制適用の対象)]を選択します。
- テスト目的のみの場合は、[Not enforced (Report-only mode)(強制適用の対象外(レポートのみモード))]を選択します。
- [Save to draft(下書きに保存)]をクリックします。
- [Preview(プレビュー)]をクリックして変更内容を確認します。
- [Publish(公開)]をクリックします。