Cookie保護の使用
クライアントのIPアドレスにセッションCookieをバインドすることで、ユーザー・セッションへの不正アクセスを防ぐためにCookie保護を設定します。
セッションCookieを使用すると、ログインを繰り返さずに複数のアプリケーション間で認証できますが、誤用を検出することはできません。盗まれた場合、攻撃者はそれを使用して、さらなる認証なしでアカウントにアクセスできます。
Cookie保護は、サインイン時にユーザーのIPアドレスにセッションCookieをバインドすることで、セキュリティを強化します。システムでは、ユーザーが再認証を必要とし、オプションでそのアカウントのサーバー側セッションを終了できます。
保護されたアプリケーションのシングル・サインオンの管理には、2つの主要なCookieが使用されます。
-
セッションCookie:ユーザーのシングル・サインオン・セッションを表すプライマリCookieです。名前の接頭辞は
ORA_OCIS_です。攻撃者がセッションCookieを盗んだ場合、このセッションCookieに固有のアカウントにアクセスできます。 -
プリファレンスCookie (サインイン状態を保持): このCookieは、ユーザーの「サインイン状態を保持」セッションを表します。これにより、ユーザーは、最初の認証が成功した後、後続の訪問時に認証プロセスをスキップできます。名前の接頭辞は
ORA_OCIS_PREFS_です。
Cookie保護では、次の保護手段が提供されます。
- セッションCookieをIPアドレスにバインドします: ユーザーが正常に認証されると、作成されるセッションCookieがユーザーのIPアドレスにバインドされます。
- IP相違の検出: 別のIPアドレスから同じセッションCookieを使用して後続の認証リクエストが行われた場合、システムは緩和アクションを実行します。
-
Trusted Network Perimeters:
IAMは、セッションCookieが、セッションに最初に関連付けられていたものとは異なるIPアドレスから使用されていることを検出すると、その新しいIPアドレスが信頼できるIPのリストに含まれているかどうかを確認します。
テナント管理者は、Cookie保護設定にネットワーク・ペリメータのリストを追加することで、信頼できるIPを定義できます。実行時に、受信リクエストのIPアドレスがこれらのネットワーク・ペリメータのいずれかに含まれているかどうかがチェックされます。
- リクエストのIPアドレスが信頼できるIP範囲内にある場合、システムは軽減アクションを実行しません。
- リクエストのIPアドレスがトラステッドIP範囲内にない場合、システムは適切な緩和アクションを実行します。
-
- 軽減:
緩和とは、IPの相違が検出されたときにシステムが実行するアクションを指します。
次のメジャーがIAMによって取得されます。
- 再認証を強制します。
再認証を強制するには、現在のセッションがまだアクティブで有効であっても、ユーザーが最初のファクタを使用してアイデンティティを検証する必要があります。このプロセスでは、ユーザーがアプリケーションにアクセスする前に、ユーザーがアイデンティティを再度証明する必要があります。
- セッション失効:
IAMは、セッション管理を使用してサーバー側でユーザー・セッションを管理します。アイデンティティ・ドメインでセッション管理機能が有効化されており、テナント管理者が「セッション設定」ページからセッションを取り消すことを選択した場合、IAMは、そのセッションCookieに関連付けられた特定のユーザー・セッションを取り消します。
- 再認証を強制します。
Cookie保護は、IPベースの検出に依存しているため、内部脅威を防止しません。これは、信頼できるネットワーク内から悪意のあるアクションを特定しない可能性があります。
管理者の通知と監査
管理者通知
Cookie保護によってユーザーの緩和アクションが強制されると、IAMはアイデンティティ・ドメイン管理者(Identity Domain Administratorロールを持つユーザー)に電子メール通知を送信して、インシデントについて通知します。管理者は、OCIコンソールでこれらの通知を無効にすることを選択できます。
監査
管理者は、指定したドメイン内のユーザーに対して発生したCookie保護の強制に関する詳細を提供する監査ログを追跡できます。
次の監査ログを使用できます。
sso.authentication.failuresso.session.delete.success
Cookie保護を有効にする
Cookie保護を有効にするには、次のステップに従います。
Cookie保護の無効化
- 「セッション設定」ページで、変更する設定を見つけます。セッション設定ページの検索に関するヘルプが必要な場合は、セッション設定のリストを参照してください。
- 「Cookie保護の有効化」オプションを無効にします。
- 「Save changes」を選択します。