Secure Access Monitorプラグインを構成する

Secure Access Monitor(SAM)プラグインは、管理対象のChrome拡張機能です。SAMプラグインを構成すると、管理対象外のOAuth付与を監視し、収集されたデータをOkta Identity Security Posture Management(ISPM)に安全に転送できます。

開始する前の確認事項

  • Okta orgがGoogle Chrome Enterpriseに接続されていること。SAMプラグインは、管理対象のChromeブラウザーでのみ機能します。「OktaをChrome Enterpriseと統合する」を参照してください。

  • ChromeブラウザーがGoogle Chrome Enterprise Coreに登録されている。登録されていない場合は、「クラウド管理型のChromeブラウザーを登録する」の手順に従ってください。これは、Google CA証明書のプロビジョニングに必要です。サードパーティーのMDMソリューションだけでは不十分です。Windowsデバイスで登録を完了するためには、追加のレジストリ設定またはMDMポリシーが必要です。

  • スーパー管理者のロールがある。

  • Google管理コンソールへのアクセス権がある。

  • アクティブなOkta ISPMテナント(ISPMまたはOkta AIライセンス)がある。

  • セキュリティポリシーがOAuth付与をブロックしていない。

  • SAMプラグインのクライアント証明書が手動の証明書選択フロー(スマートカード、PIV、レガシーDevice Trust)の妨げになっていることを認識している。

  • SASEソリューションを使用する場合、Okta URL(https://<org>.mtls.asqula.com)をTLSインスペクションから除外されるように構成している。

  • ブラウザーポリシーによって、ブラウザーが特定のクライアント証明書に固定されていない。これにより、ユーザーはDevice Trustを通じて認証されない。

Chromeブラウザーを構成する

証明書がOktaデータエンドポイントに自動的に送信されるように構成します。まず、Google Certificate Authorityをプロビジョニングしてダウンロードします。その後、クライアント証明書の設定を構成します。

Google Certificate Authorityをプロビジョニングしてダウンロードします。

Google Certificate Authorityをプロビジョニングしてダウンロードします。詳細については、「Chromeブラウザを構成して、独自のクライアント証明書をプロビジョニングする(ステップ1:Google CAをプロビジョニングする)」を参照してください。

  1. 管理者アカウントでGoogle管理コンソールにサインインします。

  2. Google管理コンソールで、Chromeブラウザー(Chrome browser) > コネクター(Connectors)に移動します。

  3. Google Certificate Authorityの構成を適用する組織単位を選択します。

  4. コネクター(Connectors)ページで、+ 新規プロバイダー構成(+ New provider configuration)をクリックします。

  5. プロバイダーのセットアップ(Set up a provider)パネルで、Google Certificate Authorityを見つけて、セットアップ(Set up)をクリックします。

  6. プロビジョニング(Provision)をクリックします。

  7. コネクター(Connectors)ページで、Google Certificate Authority詳細(Details)をクリックします。

  8. GoogleCertificateAuthority.pemをダウンロードします。

クライアント証明書の設定を構成する

クライアント証明書の設定を構成します。詳細については、「Chromeブラウザを構成して、独自のクライアント証明書をプロビジョニングする(ステップ2:クライアント証明書の設定を構成する)」を参照してください。

  1. 管理者アカウントでGoogle管理コンソールにサインインします。

  2. Google管理コンソールで、Chromeブラウザー(Chrome browser) > 設定(Settings)に移動します。

  3. 適切な組織単位を選択します。

  4. ユーザーとブラウザーの設定(User & browser settings)タブで、クライアント証明書(Client certificates)を検索してクリックします。

  5. これらのサイトで自動選択する(Automatically select for these sites)フィールドに、次を入力して<org>をOkta orgのサブドメイン:{"pattern": "https://<org>.mtls.asqula.com", "filter": {"ISSUER": {"CN":"Chrome Enterprise CA"}}}に置き換えます。

  6. ポリシーが適用されたことを確認するには、管理対象のChromeブラウザーを使用してchrome://policy/にアクセスします。ポリシーリストでAutoSelectCertificateForUrlsを見つけ、そこにエントリーが表示されていることを確認します。

Okta Admin Consoleに認証局をアップロードする

Google管理コンソールから取得したCAをOkta Admin Consoleにアップロードします。この証明書はクライアント証明書の認証プロセスで必要となります。

  1. Okta Admin Consoleで、セキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. 認証局(Certificate authority)タブをクリックします。

  3. 認証局を追加(Add certificate authority)をクリックします。

  4. 証明書の発行先(Issue certificate to)で、Secure Access Monitorプラグイン(Secure Access Monitor plugin)を選択します。

  5. CA証明書チェーンをアップロードします。ファイルタイプは.pemにしてください。

プラグインをインストールする

  1. Google管理コンソールにサインインします。

  2. Chromeブラウザー(Chrome browser) > アプリと拡張機能(Apps & extensions)に移動します。

  3. ユーザーとブラウザー(Users & browsers)タブをクリックします。

  4. Okta組織単位を選択します。

  5. 右下の+アイコンをクリックし、IDでChromeアプリまたは拡張機能を追加する(Add Chrome app or extension by ID)を選択します。

  6. 拡張機能ID(Extension ID)フィールドに、SAMプラグインID:galipinbbdandeicdicjbalcbpdbljjjを入力します。

  7. 保存(Save)をクリックします。これで、アプリと拡張機能に拡張機能が表示されます。

  8. Secure Access Monitor拡張機能をクリックして、設定パネルを開きます。

  9. インストールを許可する(Allow install)強制インストール(Force install)に変更します。

  10. 拡張機能のポリシー(Policy for extensions)フィールドに、次のJSONを入力して<org>をOkta orgのサブドメイン:{ "orgUrl": { "Value": "https://<org>.asqula.com" } }に置き換えます。

  11. 保存(SAVE)をクリックします。

詳細については、「アプリと拡張機能を自動的にインストールする」を参照してください。

管理対象のChromeプロファイルにユーザーをサインインする

構成を有効にするには、エンドユーザーがOkta orgのURLを使用して、管理対象のChromeプロファイルとOkta End-User Dashboardにサインイン必要があります。

インストールを確認する

SAMプラグインが正しくインストールされ、OAuthイベントをキャプチャしていることを確認するには、Chromeデベロッパーツールを使用します。

拡張機能のストレージを確認する

  1. 管理対象のChromeブラウザーで、chrome://extensionsに移動します。

  2. 開発者モード(Developer mode)に切り替えます。

  3. Secure Access Monitor拡張機能を見つけて、サービスワーカー(service worker)をクリックします。

  4. DevToolsウィンドウで、アプリケーション(Application)タブをクリックします。

  5. ナビゲーションメニューでストレージ(Storage) > 拡張機能ストレージ(Extension Storage)を選択します。

  6. 次の表のフィールドを確認します。

フィールド 説明 想定される値

userInfo

プラグインのIDアンカー。browserOktaUserIdおよび関連するOkta org URLを含みます。

有効なbrowserOktaUserIdおよびorgIdが入力されています。空の場合、ユーザーはまだOkta End-User Dashboardにサインインしていません。

pendingOauthEvents

キャプチャされたOAuth付与試行のローカルキュー。

ユーザーがOAuth付与フローを開始した後に自動入力されます。プラグインがイベントをOktaに正常に送信するとクリアされます(HTTP 202 Accepted)。

orgUrl

Google管理で構成されたOktaテナントURL 。

https://<org>.asqula.comに一致します。

SAM OAuthイベントライフサイクル

SAMプラグインは、収集-保存-フラッシュというデータ収集モデルを使用します。ユーザーがOAuthフローを開始すると、SAMプラグインはリクエストを傍受し、pendingOauthEventsにローカルに保存します。データは、バッチ送信がトリガーされるまで、この保留中の状態のままになります。

次のいずれかの条件が満たされると、バッチ送信がトリガーされます。

  • ローカルストレージに収集されたイベント数が100。

  • 24時間サイクルが、24時間以上より古いイベントで完了する。

登録とイベントの送信を確認する

JSON Webキーセット(JWKS)とトークン呼び出しは、インストールの直後にはトリガーされません。これらの認証フローは、バッチ送信のイベント中にのみ開始されます。

バッチ送信が発生した後、登録と送信が成功したことを確認します。

  1. DevToolsウィンドウで、アプリケーション(Application)タブをクリックします。

  2. ナビゲーションメニューで、ストレージ(Storage) > 拡張ストレージ(Extension Storage) > ローカル(Local)を選択します。

  3. 次の表で、ストレージキーを確認してください。

ストレージキー 想定される値 説明

jwkRegisterResp

オブジェクトが存在する

OktaへのJWKS登録が成功しました。

authStatus

TOKEN_OK

有効なアクセストークンがバックエンドから取得されました。

accessToken

トークン文字列が存在する

プラグインは完全に認証され、送信の準備が完了しました。

pendingOauthEvents

[](空の配列)

ローカルでキューに入れられたすべてのイベントは、Oktaにフラッシュされます。

バッチ送信は、DevToolsウィンドウのネットワーク(Network)タブでも確認できます。バッチ送信が成功すると、次の呼び出しシーケンスが生成されます。

  1. POST /jwks:プラグインは公開鍵を登録します。

  2. POST /token:プラグインは登録をアクセストークンに交換します。

  3. POST /events:プラグインはテレメトリペイロードを送信します(HTTP 202 Acceptedを返します)。

ISPMダッシュボードを確認する

SAMプラグインを構成してデプロイすると、ユーザーのブラウザーからOktaにデータが送られるようになります。

構成を確認するには、Okta ISPMダッシュボードを確認して、データがOktaに送られていることを確認します。ISPMコンソールにデータが表示されるまで最大2日かかる場合があります。OAuth付与を使用するシャドーAIエージェント特定するを参照してください。