Okta を利用した管理対象デバイスによるログイン制御

2024.12.11

#okta

こんにちは、サトウです。

社員が色々なサービスへアクセスする際に、会社が管理している信頼できる端末以外での利用を制御するため、Okta を利用して管理対象デバイスでのログイン制御を行いました。
※ログイン制御は Okta Adaptive MFA のライセンスが必要となります。

デバイスを管理対象にするためには Okta Verfy の機能の一つ Okta FastPass を利用して行います。

今回はそちらの設定方法について記載したいと思います。

参考ドキュメント：Okta FastPass – Okta

認証局の構成

Okta で Windows 、mac を管理対象にするためには、認証局を作成して各端末に証明書を配布し、それを Okta Verify の認証の時に読み取らせることで管理端末として判断できるようにしています。

そのため、今回は独自の認証局としてすでに利用している MDM ソフトウェアにて認証局を作成し証明書を配布しました。

参考：管理対象デバイス向けに独自の認証局を使用する- Okta

Okta にて証明書をアップロードし、管理証明書を構成する

「セキュリティ（Security）」 > 「デバイス統合（Device integrations）」を開きます。
「認証局」タブを選択し、「認証局を追加（Add certificate authority）」をクリックします。
認証局を追加画面にて MDM にて取得した証明書をアップロードします。
「エンドポイント管理（Endpoint Management）」タブに移動し、「プラットフォームを追加（Add Platform）」をクリックします。
「デスクトップ（Windows および macOS のみ）（Desktop （Windows and macOS only））」を選択し「次へ（Next）」をクリックします。
管理証明を構成にて「独自の認証局を使用（Use my own certificate authority）」を選択し、「保存（Save）」

Okta FastPass の有効化

Okta 管理画面から「セキュリティ（Security）」 > 「Authenticator」を開きます。
「セットアップ（Setup）」タブにて「Okta Verify」の「アクション（Actions）」から「編集（Edit）」を選択します。
検証オプションの項目にて「Okta FastPass（すべてのプラットフォーム）」にチェックを入れます。
Okta FastPass の項目にて「［Okta FastPass を使用してサインインする］ボタンを表示」にチェックを入れ保存します。

認証ポリシーの構成

今回紹介するルールは、特定のアプリケーションにアクセスするユーザーすべてのユーザーに Okta Verify がインストールされており管理対象デバイスになっていることが条件のルールとなります。

「セキュリティ（Security）」 > 「認証ポリシー（Authentication Policies）」を開きます。
「ポリシーを追加（Add a policy）」をクリックします。
分かりやすい名前と説明を入力し「保存（Save）」をクリックします。
作成したポリシーを開き、「ルール（Rule）」タブにて「ルールを追加（Add Rule）」をクリックします。
ルールを追加画面にて「ルール名（Rule Name）」を入力し、条件を指定します。

Okta FastPass に関係する条件は以下となります。

デバイスの状態（Device state is）：登録済み（Registered）
デバイス管理（Device management is）：管理対象（managed）
アクセス（Access）：認証の成功後に許可（Allowed after successful authentication）
ユーザーが認証に使用する要素（User must authenticate with）：任意の 2要素タイプ（Any 2 factor type）
認証方法（Authentication methods）：知識／生体要素タイプ、追加の要素タイプどちらにも「Okta Verify – FastPass」を追加

対象アプリケーションの選択

こちらでログイン制御を利用するアプリケーションを設定します。

作成したポリシーの「アプリケーション（Application）」タブにて「アプリを追加（Add Application）」をクリックします。
アプリケーションのリストが表示されるので、対象のアプリケーションを「追加（Add）」し完了します。

こちらで設定が完了しました。

最後に

対象のアプリケーションへのログインを会社が管理する対象デバイスのみに許可することができました。

また「レポート（Report）」 > 「アクセステストツール（Access Testing Tool）」にて、特定のユーザーに対して適切にポリシーが適用されているか確認することが可能です。

Okta FastPass を利用することでユーザーのログイン操作の負担も減り、会社が管理しているサービスの利用がよりセキュアに行われるようになる、とても便利な機能だと思いました。

S.Sato

ターミナルがダサいとモテない。NeoVim でクリスマス編

Kubernetes の Pod のライフサイクルを理解しよう！初心者向け解説と GKE での検証

＼合わせて読みたい／Related article

Data Fusionでデータプラットフォームを作成する

こんにちは。エンジニアの山田です。昨今ではAI（人工知能）の技術も進歩し、徐々に活用され始めていますが、例えば画像認識を使用したAIでは大量に蓄積された画像データから人の特徴や動作を学習（ディープラーニング）し、高い精 […]

yamada.k

2023.01.23

ForsetiSecurityをデプロイしてみた話

ForsetiSecurityとは？ GoogleとSpotifyが共同開発中オープンソースのGCPリソースセキュリティ確保のためのツールです。概要や思想はGoogle Cloud (GCP) Platform Blo […]

dokuma

2017.12.11

#forseti-security

AWS Database Migration Service（AWS DMS）の抑えるべきポイント！〜Aurora MySQL から Oracle への移行〜

こんにちは！moridy です。前回の記事を執筆してから 10 ヶ月ほどでしょうか、早いもので grasys に入社してから 1 年が経ちました。今回は業務で DMS を触った際に、テーブルを分割して移行すると速度が向 […]

moridy

2024.12.04

【lporg】mac OS launchpadのレイアウトを保存・復元する！

こんにちは長谷川です。私は日頃macOSのupdateをtopgradeで対応していて、brewで管理してるcask系のappがlaunchpad上でのレイアウト乱れるのが嫌だったんだけど解決方法があった！！（topg […]

yusukeh

2022.07.01

#mac

Cloud Deploy やってみた：verify(デプロイの検証機能)を試してみた

こんにちは、急に春らしく暖かい気候が到来し梅が早々に散りスギ花粉が猛威を奮っている様ですが、まだ花粉症は発症していない高田です私はどちらかというと春の睡魔が甚だしくて、寝ても寝足りません… さて、２週間ほど前の2023 […]

takada

2023.03.20

Cookie	期間	説明
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.