Okta FAQ
以下は、Okta および GitLab における実装に関するよくある質問です。ここに記載されていない追加の質問がある場合は、#it_help でお尋ねください。
Okta を使用してアプリケーションにログインするにはどうすればよいですか?
- gitlab.okta.com にアクセスすると、利用可能なアプリケーションの一覧が表示されます。
- ログインしたいアプリケーションを検索し、クリックします。
- これにより新しいタブが開き、自動的にログインされるはずです。
Okta SSO でアプリケーションへのログインに問題が発生している場合は、Slack の #it_help チャンネルに投稿してください。表示されているエラーのスクリーンショットも含めてください。
Okta はどのように GitLab のアカウント作成をサポートしますか?
アクティベーションワークフローは Workday 内でアカウントが作成されることでトリガーされます。
Okta はどのブラウザで動作しますか?
Okta は Firefox、Safari、Chrome をサポートしています。
プラグインとは何ですか?
プラグインは簡単にインストールでき、ウェブブラウザの一部として使用されるアプリケーションです。
プラグインを使用する必要がありますか?
GitLab は多くのアプリケーションに Secure Web Authentication (SWA) を使用しており、これらのアプリケーションを動作させるには Okta プラグインが必要です。SAML をサポートしているアプリケーションでは、プラグインは必要ありません。GitLab はすべてのユーザーに必要に応じてブラウザプラグインをインストールすることを推奨しています。
Okta プラグインのインストールは安全ですか?
はい、Okta プラグインのインストールは非常に安全です。
新しいタブを作成するにはどうすればよいですか?
新しいタブを作成するには、最後のタブの隣の「+」記号をクリックします。新しいタブ名(例: 「Personal」)の入力を求められます。タブの新しい名前を入力し、保存をクリックして作成してください。
タブはいくつ持てますか?
最大 5 つのタブを持つことができます。
タブを削除するにはどうすればよいですか?
タブを削除するには、そのタブからすべてのアプリケーションを別のタブに移動する必要があります。タブが空になると、Delete Tab オプションが表示されます。そのオプションを選択するとタブが削除されます。
アプリの追加をリクエストするにはどうすればよいですか?
まず、CorpSec Issue を開いてください
すべての新しいソフトウェアは Okta に追加される前に調達プロセスを経る必要があります。
リクエストを開く前に検討すべき事項:
- ベンダーの担当者(AE、CSM)から SSO、SAML、または SCIM がサポートされていることが確認されていますか?
- ベンダーの技術的な担当者と通話を設定し、SSO と自動化されたユーザー管理に利用可能な機能を確認するためのメールスレッドを開始してください。
- ユーザーの作成、更新、無効化はどのように処理されるべきですか?
- どのユーザーグループがこれにアクセスする必要がありますか?既存の Google グループの正確なリストまたはユーザーのリストが必要になります。
- タイムライン: アプリケーション統合の完了には 最大 4 週間 かかる可能性があることをご了承ください。リクエストが緊急の場合は、マネージャーをタグ付けし、緊急性と希望完了日を説明してください。
アプリの更新をリクエストするにはどうすればよいですか?
まず、CorpSec Issue を開き、イテレーション計画と仕様収集のために @gitlab-com/gl-security/corp/identity をタグ付けしてください。アプリケーション更新リクエストは、ビジネステクノロジーチーム内の変更管理 Issue で追跡されます。必須情報フィールドがすべて入力されていることを確認するために、okta_existing_app_udate テンプレートを使用してください。
アプリの表示順を変更するにはどうすればよいですか?
アプリの順序を変更するには、アプリのアイコンをクリックして長押しし、表示したい場所にアプリをドラッグ&ドロップします。
アプリをあるタブから別のタブに移動するにはどうすればよいですか?
アプリをあるタブから別のタブに移動するには、アプリのアイコンをクリックして長押しし、新しいタブにアプリをドラッグ&ドロップします。
アプリを削除するにはどうすればよいですか?
インストールしたアプリは、アプリの上にカーソルを合わせ、歯車アイコンを選択することで削除できます。アプリ設定画面で削除するオプションが表示されます。GitLab Okta 管理者によって発行されたアプリは削除できませんが、表示外に移動する方法はあります。最良の方法は、未使用のアプリや不要なアプリを保管するための新しいタブを作成することです。
ブックマークとは何ですか?
ブックマークは、現在利用できないアプリの URL ログインを保存する方法です。新しいブックマークを作成すると、Okta ダッシュボードにそのアプリの URL ログインへのアプリアイコンが表示されます。このブックマークは URL のみを保存し、ユーザー名とパスワードは保存しません。
ブックマークを追加するにはどうすればよいですか?
ブックマークを追加するには、ダッシュボードの右上にある「+Add Apps」ボタンに移動して検索メニューを開きます。アプリを検索します。アプリが見つからない場合、Okta はブックマークを作成するオプションを表示します。アプリの URL と表示したいブックマークの名前を入力します。「Add」ボタンをクリックしてブックマークを作成します。ダッシュボードの上部にある「Home」をクリックすると、新しいブックマークが表示されます。
どのタブにアプリを置いたか思い出せない場合、アプリを検索するにはどうすればよいですか?
ダッシュボードの上部にある「Launch App」検索バーでアプリを見つけることができます。アプリがどのタブにあるか思い出せない場合は、Launch App 検索に移動してアプリの名前を入力し、表示された名前を選択して開いてください。
Okta は私たちがアプリに入力した情報を保存しますか?
いいえ、Okta はさまざまなアプリへのインテグレーターとしてのみ機能します。ユーザーがアプリ内に保存する情報は、Okta からはアクセスできません。ユーザー名とパスワード(ユーザー認証情報)は、業界標準の暗号化された AES とランダムに生成された対称鍵の両方を使用して暗号化されます。
SWA と SAML の違いは何ですか?
SWA - SWA インテグレーションは、独自のフェデレーテッドサインオン方法をサポートしないアプリにシングルサインオンを提供します。任意のウェブベースアプリで動作します。SWA アプリのインテグレーションが成功した場合、エンドユーザーがアプリのチクレットをクリックすると以下が発生します。
- ユーザー名とパスワードフィールドが入力されます。
- ユーザーは自動的にアプリにサインインされます。
SAML - SAML(Security Assertion Markup Language)インテグレーションは、エンドユーザーにアプリへのワンクリックアクセスを可能にするフェデレーテッド認証標準を提供します。 SAML は、Okta などの ID プロバイダー(IdP)とサービスプロバイダー(SP)間で認証および認可データを交換するための XML ベースの標準です。 ご自身のアプリケーションが SAML をサポートしている場合、これは SWA よりも優れた認証プロトコルです。SAML が有効になっている場合、Okta がアプリケーションの認証プロバイダーとなり、また、この認証プロトコルにより、ユーザーの認証動作をより細かく制御できるようになります。 Okta は、SAML アサーション(Okta の認証ポリシーに基づいて Okta から信頼判断に基づき認可される「パスワードレス」アサーション方法)を使用してクラウドアプリケーションに認証できます。これにより、認証情報漏洩のリスクが減り、監査可能性が向上します。
セルフサービスアプリケーションは Okta でどのように動作しますか?
これの例は Okta ページにリンクされている Application configuration ビデオにあります。簡単に言うと、Add Apps ボタンをクリックし、リクエストしたいアプリを検索し、リクエストボタンをクリックします。ベストプラクティスとして、作成されたアクセスリクエスト Issue にリンクして、アプリケーションオーナーがリクエストの要件を理解できるようにしてください!
アプリの名前を変更したり、機能を追加したりできますか?
はい、各アプリにアプリノートを追加でき、直感的なラベルを追加するために検討します。例として、Workday や他のいくつかですでにこれを有効にしています。アプリを設定してユーザー体験を向上させるには、Okta メインページの Dashboard Tips ビデオを参照してください。
私のアプリケーションが SAML2.0 経由で統合されていない理由はありますか?
SAML への変換が必要なアプリケーションがあります。更新をリクエストするには、変更管理 Issue を開いてください。
GitLab Okta のユーザー名とパスワードは何ですか?
GitLab では、GitLab メールアドレスがユーザー名です。パスワードを忘れた場合は、#it_help までご連絡ください。
安全なパスワードを作成するにはどうすればよいですか?
Okta は、当社のパスワードポリシーに沿ったパスワードの複雑さルールと長さの使用を通じて強力なパスワードをサポートしています。ルールを決定するには GitLab のパスワードポリシーガイドライン に従ってください。
多要素認証(MFA)はどのように機能しますか?
ユーザー認証情報は、業界標準の暗号化された AES とランダムに生成された対称鍵の両方を使用して暗号化されます。対称暗号化鍵を含むこの鍵ストアは、メモリ内にのみ保持され、Okta アプリのみがアクセス可能なマスターキーで暗号化されます。起動時に、アプリにはマスターパスフレーズが提供され、メモリ内のマスターキーへのアクセス、復号化、保存が可能になります。会社の技術運用管理者がマスターパスフレーズを入力します。このマスターパスフレーズを知っているのは限られた数の管理者のみです。その結果、攻撃者はマスターキー、秘密鍵、およびユーザーのアプリコンテキストを持っていない限り、データを復号化することはできません。
一部のアプリではパスワードを入力する必要があり、他のアプリでは必要ない理由は何ですか?
Okta では、単一の統合ダッシュボードを通じてアプリケーションにアクセスできます。これらのアプリケーションへのアクセスは、Security Assertion Markup Language (SAML) または Okta の Secure Web Authentication (SWA) 技術のいずれかを介したシングルサインオン(SSO)技術を通じて提供されます。
SWA では、そのアプリケーションを初めて使用する際にユーザー名とパスワードを入力する必要がある場合があります。アプリでパスワード変更が必要な場合は、Okta ダッシュボード内で行う必要があります。SAML では、Okta が自動的にトークンを介してアクセスを渡すため、アプリで更新が必要な場合に手動で変更を行う必要はありません。
アプリのパスワードを変更するにはどうすればよいですか?
特定のアプリケーションのパスワードを変更するには、アプリのアイコンの上にマウスを置きます。歯車をクリックして設定に移動すると、その特定のアプリケーションのパスワードを変更するオプションが表示されるメニューが開きます。
ユーザー名とパスワードを更新できない場合は、GitLab Okta サポートまたは IT Ops チームにお問い合わせください。 パスワードが安全であることに自信を持てますか? はい、誰も(GitLab 管理者や IT サポートを含む)パスワードデータへのアクセスや可視性を持っていません。
ユーザー名とパスワードはどこに、どのように保存されますか?
Okta はデータを保護するために強力な暗号化を使用し、ユーザー名とパスワードの認証情報には強力な(256 ビット AES)暗号化を使用しています。この情報は Okta によって保存および維持されます。
再認証が必要になるまで、ログインはどのくらい持続しますか?
Okta には 2 つの制御された再認証パラメーター(Factor Lifetime と Session Lifetime)があります。
Factor Lifetime: factor lifetime の設定は、エンドユーザーが Factor Lifetime に記載されている時間サインアウトしても、次のサインイン時に MFA で再認証する必要がない方法です。エンドユーザーは設定を適用することを確認するためにボックスにチェックを入れる必要があります。これは 15 分に設定しています。通常使用しているデバイスではないマシンでログインしている場合は、このボタンにチェックを入れないように注意してください!
Session Lifetime: 認証プロンプトがトリガーされる前の最大アイドル時間。これを 4 時間に設定しています。
過剰な認証リクエストで問題が発生している場合は、Issue を起票 いただければ調査いたします。
GitLab Okta 管理者は私のログイン情報を見ることができますか?
GitLab 管理者はあなたのユーザー名を見ることができますが、認証に使用するパスワードや他の認証情報やデバイスへのアクセスはありません。
Okta は当社のパスワードポリシーをサポートしますか?
はい、Okta は GitLab パスワードポリシーと制限に準拠するように設定されています。
Okta にすでに統合され存在しているアプリは、1Password から削除できますか?
はい、Okta に認証情報を入力したら、1password から削除して構いません。
一部のアプリで Google OAuth ログイン(独自の 2FA を使用)を引き続き使用することは許容されますか?
はい、これは問題ありません。最終的な状態は、ほとんど/すべてのアプリケーションに Okta を使用することですが、それまでは既存の認証方法は問題ありません。Okta のユーザー導入が広まったら、これらのアプリの一部について、最も理にかなっている場合に Google OAuth の代わりに Okta を使用するように移行する作業を行います。
Okta は仕事関連の認証情報のみに使用されますか?もしそうなら、どのように強制されますか?
現時点では、誰かが個人の認証情報を使用することを止めるものはありません。詳細については、アプリの設定について作成されたビデオを参照してください。
Okta は MFA に対する可視性を持っていますか?
MFA は Okta で厳密に強制されています。これは Okta が管理するサービスへのゲートウェイとして機能します。したがって、それらのサービスは事実上、Okta ログインを介した MFA を必要とします。
Okta は特定のデバイスや条件からのログインを防ぐために使用されますか?
はい、Okta デバイス信頼および脅威インテリジェンスフィードに基づく IP ベースの制御を介して使用されます。
一部のアプリがまだ開いているのに、なぜ私の Okta セッションは期限切れになるのですか?
Okta は、Okta セッションからログアウトされていても、アプリケーションからログアウトはしません。
Okta がダウンした場合はどうなりますか?
Okta は「Always On」アーキテクチャで構築されています。ただし、サービスがダウンした場合は、GitLab Okta プラットフォームにログインしてシングルサインオン経由でアプリケーションにアクセスすることはできません。ただし、一部のアプリケーションは直接リンクを介してまだアクセス可能な場合があります。 Okta がダウンした場合、基本的に GitLab はダウンします。緩和戦略は、当社のセキュリティの表面積を拡大することになります。
Okta がダウンした場合のポリシーは何ですか?従業員は待つべきですか、それともバックアッププランがありますか?
Okta がダウンした場合、私たちもダウンします。緩和戦略は、当社のセキュリティの表面積を拡大することになります。 Okta は「Always On」アーキテクチャで構築されています。ただし、サービスがダウンした場合は、GitLab Okta プラットフォームにログインしてシングルサインオン経由でアプリケーションにアクセスすることはできません。ただし、一部のアプリケーションは直接リンクを介してまだアクセス可能な場合があります。
Okta の緊急事態の場合、誰に連絡すればよいですか?
Slack の #it_help チャンネルにご連絡ください。
自動レポートはありますか?
いいえ、これは Okta 内には存在しません。ただし、これはセキュリティ自動化チームが支援できるものであるべきです。MFA やパスワード変更、新しい認識されていないデバイスからの接続などについて、すでに有効になっている自動セキュリティ通知がいくつかあります。GitLab は組み込みのレポート機能に基づいてこれらに関するレポートを実行できます。
Okta がまだできないことは何ですか?
アクセスリクエストの自動化はそのようなものの 1 つです。マネージャーの承認は現時点では Okta では不可能です。これを実現するための他の方法と手段に取り組んでいます。
Okta は、すべてのチームメンバーが会社全体の VPN を使用できるようにする VPN プロバイダーと統合されていますか?
これを行う能力はありますが、このアプリケーションのユースケースを理解するためにさらなる調査が必要です。現段階では、VPN の要件は有効になっていません。
オンボーディング時に GitLab 個人アカウントを使用したユーザーは、オフボーディング時にはどうなりますか?
2020-03-23 より前に開始したユーザーは、GitLab グループから削除されます。オフボーディングが行われると、Okta アカウントと関連アカウントが無効化されます。
bfd74782)