Cookie保護の使用

クライアントのIPアドレスにセッションCookieをバインドすることで、ユーザー・セッションへの不正アクセスを防ぐためにCookie保護を設定します。

セッションCookieを使用すると、ログインを繰り返さずに複数のアプリケーション間で認証できますが、誤用を検出することはできません。盗まれた場合、攻撃者はそれを使用して、さらなる認証なしでアカウントにアクセスできます。

Cookie保護は、サインイン時にユーザーのIPアドレスにセッションCookieをバインドすることで、セキュリティを強化します。システムでは、ユーザーが再認証を必要とし、オプションでそのアカウントのサーバー側セッションを終了できます。

保護されたアプリケーションのシングル・サインオンの管理には、2つの主要なCookieが使用されます。

  • セッションCookie:ユーザーのシングル・サインオン・セッションを表すプライマリCookieです。名前の接頭辞はORA_OCIS_です。攻撃者がセッションCookieを盗んだ場合、このセッションCookieに固有のアカウントにアクセスできます。

  • プリファレンスCookie (サインイン状態を保持): このCookieは、ユーザーの「サインイン状態を保持」セッションを表します。これにより、ユーザーは、最初の認証が成功した後、後続の訪問時に認証プロセスをスキップできます。名前の接頭辞はORA_OCIS_PREFS_です。

Cookie保護では、次の保護手段が提供されます。

  • セッションCookieをIPアドレスにバインドします: ユーザーが正常に認証されると、作成されるセッションCookieがユーザーのIPアドレスにバインドされます。
  • IP相違の検出: 別のIPアドレスから同じセッションCookieを使用して後続の認証リクエストが行われた場合、システムは緩和アクションを実行します。
    • Trusted Network Perimeters:

      IAMは、セッションCookieが、セッションに最初に関連付けられていたものとは異なるIPアドレスから使用されていることを検出すると、その新しいIPアドレスが信頼できるIPのリストに含まれているかどうかを確認します。

      テナント管理者は、Cookie保護設定にネットワーク・ペリメータのリストを追加することで、信頼できるIPを定義できます。実行時に、受信リクエストのIPアドレスがこれらのネットワーク・ペリメータのいずれかに含まれているかどうかがチェックされます。

      • リクエストのIPアドレスが信頼できるIP範囲内にある場合、システムは軽減アクションを実行しません。
      • リクエストのIPアドレスがトラステッドIP範囲内にない場合、システムは適切な緩和アクションを実行します。
  • 軽減:

    緩和とは、IPの相違が検出されたときにシステムが実行するアクションを指します。

    次のメジャーがIAMによって取得されます。

    • 再認証を強制します。

      再認証を強制するには、現在のセッションがまだアクティブで有効であっても、ユーザーが最初のファクタを使用してアイデンティティを検証する必要があります。このプロセスでは、ユーザーがアプリケーションにアクセスする前に、ユーザーがアイデンティティを再度証明する必要があります。

    • セッション失効:

      IAMは、セッション管理を使用してサーバー側でユーザー・セッションを管理します。アイデンティティ・ドメインでセッション管理機能が有効化されており、テナント管理者が「セッション設定」ページからセッションを取り消すことを選択した場合、IAMは、そのセッションCookieに関連付けられた特定のユーザー・セッションを取り消します。

重要

Cookie保護は、IPベースの検出に依存しているため、内部脅威を防止しません。これは、信頼できるネットワーク内から悪意のあるアクションを特定しない可能性があります。