Okta Hardening

Directory

People

Kutoka kwa mtazamo wa washambuliaji, hii ni ya kuvutia sana kwani utaweza kuona watumiaji wote waliojiandikisha, anwani zao za barua pepe, makundi wanayoshiriki, profaili na hata vifaa (simu pamoja na mifumo yao ya uendeshaji).

Kwa ukaguzi wa whitebox hakikisha kuwa hakuna "Hatua ya mtumiaji inayosubiri" na "Kurekebisha nenosiri".

Groups

Hapa ndipo unapata makundi yote yaliyoanzishwa katika Okta. Ni ya kuvutia kuelewa makundi tofauti (seti ya idhini) ambayo yanaweza kutolewa kwa watumiaji. Inawezekana kuona watu walio ndani ya makundi na programu zilizotolewa kwa kila kundi.

Kwa kweli, kundi lolote lenye jina la admin ni la kuvutia, hasa kundi la Wasimamizi wa Kimataifa, angalia wanachama kujua ni nani wanachama wenye mamlaka zaidi.

Kutoka kwa ukaguzi wa whitebox, hakupaswi kuwa na wasimamizi wa kimataifa zaidi ya 5 (ni bora ikiwa kuna 2 au 3 tu).

Devices

Pata hapa orodha ya vifaa vyote vya watumiaji wote. Unaweza pia kuona ikiwa inasimamiwa kwa njia ya moja kwa moja au la.

Profile Editor

Hapa inawezekana kuangalia jinsi taarifa muhimu kama vile majina ya kwanza, majina ya mwisho, barua pepe, majina ya mtumiaji... zinavyoshirikiwa kati ya Okta na programu nyingine. Hii ni ya kuvutia kwa sababu ikiwa mtumiaji anaweza kubadilisha katika Okta uwanja (kama jina lake au barua pepe) ambayo kisha inatumika na programu ya nje ili kutambua mtumiaji, mtu wa ndani anaweza kujaribu kuchukua akaunti nyingine.

Zaidi ya hayo, katika profaili User (default) kutoka Okta unaweza kuona ni uwanja gani kila mtumiaji ana na ni yupi ni unaoweza kuandikwa na watumiaji. Ikiwa huwezi kuona paneli ya admin, nenda tu sasisha taarifa za profaili yako na utaona ni uwanja gani unaweza kusasisha (kumbuka kuwa ili kusasisha anwani ya barua pepe utahitaji kuithibitisha).

Directory Integrations

Maktaba zinakuwezesha kuingiza watu kutoka vyanzo vilivyopo. Nadhani hapa utaona watumiaji waliingizwa kutoka maktaba nyingine.

Sijawahi kuona, lakini nadhani hii ni ya kuvutia kugundua maktaba nyingine ambazo Okta inatumia kuingiza watumiaji ili ikiwa utavunja maktaba hiyo unaweza kuweka baadhi ya thamani za sifa katika watumiaji walioundwa katika Okta na labda kuathiri mazingira ya Okta.

Profile Sources

Chanzo cha profaili ni programu inayofanya kazi kama chanzo cha ukweli kwa sifa za profaili za mtumiaji. Mtumiaji anaweza tu kuingizwa na programu au maktaba moja kwa wakati mmoja.

Sijawahi kuona, hivyo taarifa yoyote kuhusu usalama na udukuzi kuhusiana na chaguo hili inathaminiwa.

Customizations

Brands

Angalia katika tab ya Domains ya sehemu hii anwani za barua pepe zinazotumika kutuma barua pepe na jina la kikoa maalum ndani ya Okta la kampuni (ambalo huenda tayari unalijua).

Zaidi ya hayo, katika tab ya Setting, ikiwa wewe ni admin, unaweza "Tumia ukurasa maalum wa kutoka" na kuweka URL maalum.

SMS

Hakuna kitu cha kuvutia hapa.

End-User Dashboard

Unaweza kupata hapa programu zilizowekwa, lakini tutaona maelezo ya hizo baadaye katika sehemu tofauti.

Other

Mipangilio ya kuvutia, lakini hakuna kitu cha kuvutia sana kutoka kwa mtazamo wa usalama.

Applications

Applications

Hapa unaweza kupata programu zote zilizowekwa na maelezo yao: Nani ana ufikiaji wa hizo, jinsi ilivyowekwa (SAML, OPenID), URL ya kuingia, ramani kati ya Okta na programu...

Katika tab ya Sign On pia kuna uwanja unaoitwa Password reveal ambao utamruhusu mtumiaji kuonyesha nenosiri lake wakati wa kuangalia mipangilio ya programu. Ili kuangalia mipangilio ya programu kutoka kwa Paneli ya Mtumiaji, bonyeza alama 3:

Na unaweza kuona maelezo zaidi kuhusu programu (kama kipengele cha kuonyesha nenosiri, ikiwa kimewezeshwa):

Identity Governance

Access Certifications

Tumia Access Certifications kuunda kampeni za ukaguzi ili kupitia ufikiaji wa watumiaji wako kwa rasilimali mara kwa mara na kuidhinisha au kufuta ufikiaji kiotomatiki inapohitajika.

Sijawahi kuona ikitumika, lakini nadhani kutoka kwa mtazamo wa kujihami ni kipengele kizuri.

Security

General

• Barua pepe za arifa za usalama: Zote zinapaswa kuwezeshwa.

• Ushirikiano wa CAPTCHA: Inapendekezwa kuweka angalau reCaptcha isiyoonekana

• Usalama wa Shirika: Kila kitu kinaweza kuwezeshwa na barua pepe za uanzishaji hazipaswi kudumu kwa muda mrefu (siku 7 ni sawa)

• Kuzuia kuorodhesha watumiaji: Zote zinapaswa kuwezeshwa

• Kumbuka kuwa Kuzuia Kuorodhesha Watumiaji hakutatumika ikiwa mojawapo ya hali zifuatazo inaruhusiwa (Tazama Usimamizi wa watumiaji kwa maelezo zaidi):

• Usajili wa Huduma ya Kibinafsi

• Mchakato wa JIT na uthibitisho wa barua pepe

• Mipangilio ya Okta ThreatInsight: Rekodi na enforce usalama kulingana na kiwango cha tishio

HealthInsight

Hapa inawezekana kupata mipangilio iliyowekwa kwa usahihi na hatari.

Authenticators

Hapa unaweza kupata njia zote za uthibitishaji ambazo mtumiaji anaweza kutumia: Nenosiri, simu, barua pepe, msimbo, WebAuthn... Bonyeza kwenye uthibitishaji wa Nenosiri unaweza kuona sera ya nenosiri. Hakikisha kuwa ni imara.

Katika tab ya Enrollment unaweza kuona jinsi zile zinazohitajika au za hiari:

Inapendekezwa kuzima Simu. Njia zenye nguvu zaidi ni pengine mchanganyiko wa nenosiri, barua pepe na WebAuthn.

Authentication policies

Kila programu ina sera ya uthibitishaji. Sera ya uthibitishaji inathibitisha kuwa watumiaji wanaojaribu kuingia kwenye programu wanakidhi masharti maalum, na inatekeleza mahitaji ya vipengele kulingana na masharti hayo.

Hapa unaweza kupata mahitaji ya kufikia kila programu. Inapendekezwa kutaka angalau nenosiri na njia nyingine kwa kila programu. Lakini ikiwa kama mshambuliaji unapata kitu dhaifu zaidi unaweza kuwa na uwezo wa kukishambulia.

Global Session Policy

Hapa unaweza kupata sera za kikao zilizotolewa kwa makundi tofauti. Kwa mfano:

Inapendekezwa kutaka MFA, kupunguza muda wa kikao kuwa masaa kadhaa, usiweke cookies za kikao katika nyongeza za kivinjari na upunguze eneo na Mtoa Kitambulisho (ikiwa hii inawezekana). Kwa mfano, ikiwa kila mtumiaji anapaswa kuingia kutoka nchi fulani unaweza kuruhusu tu eneo hili.

Identity Providers

Watoa Kitambulisho (IdPs) ni huduma ambazo zinadhibiti akaunti za watumiaji. Kuongeza IdPs katika Okta kunawawezesha watumiaji wako wa mwisho kujiandikisha wenyewe na programu zako maalum kwa kuanza kuthibitisha na akaunti ya kijamii au kadi ya smart.

Katika ukurasa wa Watoa Kitambulisho, unaweza kuongeza logins za kijamii (IdPs) na kuunda Okta kama mtoa huduma (SP) kwa kuongeza SAML ya ndani. Baada ya kuongeza IdPs, unaweza kuanzisha sheria za kuelekeza watumiaji kwa IdP kulingana na muktadha, kama vile eneo la mtumiaji, kifaa, au kikoa cha barua pepe.

Ikiwa mtoa kitambulisho yeyote amewekwa kutoka kwa mtazamo wa washambuliaji na walinzi angalia mipangilio hiyo na ikiwa chanzo ni cha kuaminika kweli kwani mshambuliaji anayevunja inaweza pia kupata ufikiaji wa mazingira ya Okta.

Delegated Authentication

Uthibitishaji wa wakala unaruhusu watumiaji kuingia katika Okta kwa kuingiza taarifa za kuingia za Active Directory (AD) au LDAP ya shirika lao.

Tena, angalia hii, kwani mshambuliaji anayevunja AD ya shirika anaweza kuwa na uwezo wa kuhamasisha Okta kwa sababu ya mipangilio hii.

Network

Eneo la mtandao ni mpaka unaoweza kubadilisha ambao unaweza kutumia kutoa au kupunguza ufikiaji wa kompyuta na vifaa katika shirika lako kulingana na anwani ya IP inayotafuta ufikiaji. Unaweza kufafanua eneo la mtandao kwa kubainisha anwani moja au zaidi za IP, anuwai za anwani za IP, au maeneo ya kijiografia.

Baada ya kufafanua eneo moja au zaidi za mtandao, unaweza kuzitumia katika Sera za Kikao za Kimataifa, sera za uthibitishaji, arifa za VPN, na sheria za kuelekeza.

Kutoka kwa mtazamo wa washambuliaji ni ya kuvutia kujua ni IP zipi zinazoruhusiwa (na kuangalia ikiwa kuna IPs zenye mamlaka zaidi kuliko nyingine). Kutoka kwa mtazamo wa washambuliaji, ikiwa watumiaji wanapaswa kufikia kutoka anwani maalum ya IP au eneo angalia kuwa kipengele hiki kinatumika ipasavyo.

Device Integrations

• Usimamizi wa Kituo: Usimamizi wa kituo ni hali ambayo inaweza kutumika katika sera ya uthibitishaji ili kuhakikisha kuwa vifaa vilivyo na usimamizi vina ufikiaji wa programu.

• Sijawahi kuona hii ikitumika bado. TODO

• Huduma za arifa: Sijawahi kuona hii ikitumika bado. TODO

API

Unaweza kuunda token za Okta API katika ukurasa huu, na kuona zile ambazo zime undwa, mamlaka zao, muda wa kuisha na URLs za Chanzo. Kumbuka kuwa token za API zinaundwa kwa ruhusa za mtumiaji aliyekuwa ameunda token hiyo na ni halali tu ikiwa mtumiaji aliyekuwa ameunda ni hai.

Vyanzo vya Kuaminika vinatoa ufikiaji wa tovuti ambazo unadhibiti na kuaminiwa kufikia shirika lako la Okta kupitia API ya Okta.

Hakupaswi kuwa na token nyingi za API, kwani ikiwa kuna mshambuliaji anaweza kujaribu kuzipata na kuzitumia.

Workflow

Automations

Automations zinakuwezesha kuunda vitendo vya kiotomatiki vinavyofanyika kulingana na seti ya masharti ya kichocheo yanayotokea wakati wa mzunguko wa maisha ya watumiaji wa mwisho.

Kwa mfano, hali inaweza kuwa "Kutokuwepo kwa mtumiaji katika Okta" au "Kuisha kwa nenosiri la mtumiaji katika Okta" na kitendo kinaweza kuwa "Tuma barua pepe kwa mtumiaji" au "Badilisha hali ya maisha ya mtumiaji katika Okta".

Reports

Reports

Pakua kumbukumbu. Zinatumwa kwa anwani ya barua pepe ya akaunti ya sasa.

System Log

Hapa unaweza kupata kumbukumbu za vitendo vilivyofanywa na watumiaji kwa maelezo mengi kama kuingia katika Okta au katika programu kupitia Okta.

Import Monitoring

Hii inaweza kuingiza kumbukumbu kutoka kwa majukwaa mengine yaliyofikiwa na Okta.

Rate limits

Angalia mipaka ya kiwango cha API iliyofikiwa.

Settings

Account

Hapa unaweza kupata taarifa za jumla kuhusu mazingira ya Okta, kama vile jina la kampuni, anwani, mwanachama wa bili ya barua pepe, mwanachama wa kiufundi wa barua pepe na pia ni nani anapaswa kupokea masasisho ya Okta na ni aina gani ya masasisho ya Okta.

Downloads

Hapa unaweza kupakua wakala wa Okta ili kuunganisha Okta na teknolojia nyingine.