はじめに
今回はSecurityの一般設定について以下を記載していきます。
General
Security notification emails
新規サインインやパスワード変更など特定の挙動が発生した際にユーザーにメールで通知することができます。
ユーザー自身の操作でもメールが通知されるため、正直メール通知はONにするか迷うところ。
- メール内に接続元IPなど記載されていても、ユーザー自身でメールを見て自分のIPなのか判別できないこともあります。
- その場合無駄に不安を煽ることになるのと、IT部門への無駄な問い合わせが発生する可能性があるためです。
メールで通知できる挙動は以下の通りです。
-
- New sign-on
- Password changed
- Authenticator enrolled
- Authenticator reset
- Report suspicious activity via email
- Enabledにすることでユーザーへのメール本文に「不審なアクティビティの報告」というリンクが追加されます。
- ユーザーがリンクをクリックすると、報告があったことがシステムログに記録されます。
Organization Security
その他のセキュリティ設定という感じです。
-
- Remember user on sign in
- ログインしたユーザーのUsernameを記憶し、次回のログイン時にログイン画面のユーザー名フィールドに自動的に入力した状態にしてくれるようになります。
- Show option for "Keep me signed in"
- ログイン画面に「サインイン状態を維持する」のチェックボックスを表示します。
- Activation emails are valid for
- Oktaへの招待メールの有効期間を設定します。
- Enforce device binding for creating sessions
- 何の設定だっけこれ。
- Username match criteria on sign in
- ログイン時に受け付けるユーザー名をメールアドレス全部もしくは@前までを許可するかを設定します。
- Allow short matchを選択した場合、メールアドレスの@前の部分だけでもログインを許可します。
- Users can view Recent Activity
- エンドユーザーダッシュボードから最近のアクティビティを確認できるようにします。
- Use standard AMR value format
- なんだっけこれ。
- Remember user on sign in
User enumeration prevention
以前検証したけど全く覚えてなかったので、今回AuthenticationのチェックをON/OFF切り替えて動作を確認しました。
例えば会社のグローバルIPアドレス以外からのアクセスは拒否するなど、Global Session Policyで条件に応じて明示的に拒否するルールを設定している場合に関係してくるようです。
Global Session Policyで拒否されるべきIPからの接続であり、かつ正しいPWが入力された場合、設定ON/OFFで表示されるメッセージが異なりました。
ユーザーおよびパスワードが正しいことが分かってしまうので、設定をOFFにする理由はないと思います。
ONでよいです。
OFFの場合
| PW \ IP | 許可 | 拒否 |
|---|---|---|
| 正 | 正しくログイン | エラー2 |
| 誤 | エラー1 | エラー1 |
ONの場合
| PW \ IP | 許可 | 拒否 |
|---|---|---|
| 正 | 正しくログイン | エラー1 |
| 誤 | エラー1 | エラー1 |
エラーメッセージ
- エラー1
- エラー2
Okta ThreatInsight settings
不審なIPアドレスからのアクセスをログに記録したりブロックすることができるようです。
Oktaの推奨はブロックまでのようです。
直近の7日間の不審なIPアドレスからのアクセスログはDashboardのSecurity Monitoringから、以下のViewを選択することで確認できます。
さいごに
一度設定したら普段はあまり触らない箇所ということもあり、改めて設定項目を見るとあまり見覚えのない項目がありました。。。
なんだっけについては調べたら記事更新するかも?
今回はここまで。ありがとうございました。