はじめに
今回は、以下の全5回のうち3回目になります。
- サインインを自社拠点IPからのみに制限する
- サインイン時にMFAを求める
- サインイン時にMFAを求めないパターンを残す
- サインイン時にリスク判定を追加する
- 特定のアプリのみ自社拠点外からのサインインを許可する
デバイスやロケーションなど、サインイン時の情報が普段と異なる場合はセキュリティリスクが高い可能性があります。
Oktaではサインイン時にリスクレベルに応じた制御を加えることができます。
今回は、リスクレベルが高い場合にMFAを強制し、認証が成功してもセッションをすぐに切断するルールをGlobal Session Policyに追加していきます。
自社用デフォルトポリシーにルールを追加
Risk is で High を選択し、Users wiss be prompted for MFA で At every sign in を指定します。
これでリスクが高いと判定された場合は毎回MFAを求められるようになります。
また、セッション時間を life time/idle time ともに1分を設定します。
これでログインしても1分でセッションが切断されるようになります。
ルールを追加すると例によって既存ルールの下に追加されるため、一番上に移動させます。
こんな感じ。
Number Challenge を有効にする
私は Okta Verify Push を使っていますが、例えば第三者によるサインインでリスクが高いと判定されても、意識せずにプッシュ通知を許可してしまっては意味がありません。
リスクが高いときにだけ Number Challenge を有効にすることで、画面に表示されている数字と同じ数字を選択しなければならなくなるので、プッシュ通知を許可しても即サインインされることはなくなります。
Security > Authenticators > Okta Verify > Actions:Edit > Number challenge for Okta Verify Push から Only for high risk sign-in attempts を指定することで設定できます。
参考までに Number Challenge 時には以下の画面が表示されるようになります。
- PC側
- スマホ側
-
Behavior Profile をリセットする
Number Challenge を設定した後に動作確認をしたいと思っても、すでにOkta側でサインイン時の情報を保持しているためなかなか意図的に確認することができません。
そんな時は、ユーザーを指定して More Actions > Reset Behavior Profile を実行します。
さいごに
今回はここまで。ありがとうございました。
次回は特定のアプリだけ自社拠点IP以外からでもアクセスできるようにします。