編集：この記事は、Chrome 141から142へのGoogleのリリース日の変更を反映するために9/30に変更されました

10月下旬のChromeバージョン142のリリース以降、Okta FastPassを使用してサインインする場合、ChromeおよびChromiumベースのブラウザーでは、デバイスでOktaサインインページが安全なループバックサーバーと通信するための許可が必要になります。 

これは認証に必要な手順であり、ユーザーはデバイスごとに1回だけこのプロンプトを受け入れることで、シームレスなサインインエクスペリエンスを継続できます。このプロセスは安全で、Okta Verifyがインストールされているデバイスとのみ通信します。Oktaがローカルネットワーク上のほかのデバイスを検索したり、それらに接続したりすることはありません。

お知らせを読む

Google Blog：「New permission prompt for Local Network Access」。

これが行われる理由

Okta FastPassを使用する場合、Oktaのウェブサイトは、本人であることを証明するために、コンピューター上のOkta Verifyアプリと通信する必要があります。Chromeでは新しいセキュリティ対策として、この接続を初めて行うときに承認を求めるようになりました。Oktaを設計どおりに動作させるためのワンタイム許可がChromeによって求められるため、このプロンプトが表示されます。

重要なポイント

• プライバシー重視：このChromeプロンプトは認証のみを目的としています。Oktaがローカルネットワーク上のほかのデバイスに接続したり、それらの情報を読み取ったりすることはありません。Okta Verifyがインストールされているデバイスとのみ通信します。

• ワンタイムプロンプト：IT管理対象デバイスがない場合は、デバイスごとに1回このプロンプトを受け入れるだけで、以降はシームレスにアクセスできるようになります。

• Windows、MacOS、iOS、Android上のChromeブラウザーでのFastPass認証

これが安全で予期されるプロンプトであることをユーザーに通知することをお勧めします。

Android、MacOS、Windows

シームレスなサインインを実現するために、管理対象Chromeプロファイルのローカルネットワークアクセス（LNA）エンタープライズポリシーを使用して、Oktaのサインインオリジンにその権限を事前に付与します（詳細）。

iOS

最新の情報に基づくと、現時点ではiOS上のChromeではローカルネットワークアクセスのプロンプトは表示されません。iOSデバイスでは、ユーザーによる操作は必要ありません。

目的

• Okta FastPassがlocalhost/127.0.0.1にあるローカルループバックサービスと通信するときに、Chromeのローカルネットワークアクセス（LNA）権限のプロンプトが表示されないようにします。

構成内容

• 許可リスト： LocalNetworkAccessAllowedForUrls
  リクエスト元のページのオリジン（Oktaサインインホスト）を追加し、プロンプトなしでlocalhost/127.0.0.1を呼び出せるようにします。
  
  注：ローカルエンドポイントではなく、リクエストを行うオリジン（https://atko.okta.comやカスタムOktaドメインなど）を許可リストに登録します。
   

• グローバルスイッチ： LocalNetworkAccessRestrictionsEnabled
  LNAが一貫して適用され、許可/ブロックリストが有効になるようにします。

オプション1 - Google Workspaceを使用したChromeブラウザーの設定

Chromeブラウザーの設定によってLNAプロンプトをブロックすると、MDM登録デバイスとBYODデバイスの両方に、シームレスなFastPassエクスペリエンスへのパスが許可されます。 

前提条件

• OktaとGoogle Workspaceを使用して、ユーザーに管理対象プロファイルを割り当てます。手順を参照してください。 

手順（Google Adminコンソール）

1. Workspace管理コンソールで、［Chrome Browser（Chromeブラウザー）］>［Settings（設定）］に移動します。
2. ［Local Network Access restrictions（ローカルネットワークアクセスの制限）］の設定を見つけます。
    
3. ［Inheritance（継承）］が［Locally applied（ローカル適用）］となるように設定します。
4. ［Configuration（構成）］オプションを［Apply restrictions to requests to Local Network Access（ローカルネットワークアクセスへのリクエストに制限を適用）］に設定します。許可リストに登録する各ドメインのURLパターンを追加します。
    
5. 設定を目的の組織単位に割り当て、［Save（保存）］をクリックします。
6. テストブラウザーでchrome://policyを開き、［Reload（再読み込み）］をクリックして、値が適用されていることを確認します。

WorkspaceでのカスタムChromeポリシーの設定について詳しくは、「カスタム設定ページを使用してChromeポリシーを設定する」ページを参照してください。

オプション2 - MDMを使用したChromeブラウザーの設定

モバイルデバイス管理（MDM）ソリューションを使用して、管理対象デバイスにOktaサインインURLのLNA権限を事前に付与するポリシーを展開できます。これにより、ユーザーにプロンプトが表示されなくなります。オペレーティングシステムによって、設定は少し異なります。

Windows（Intuneを使用した場合）

1. Intuneコンソールで、カスタムデバイス構成プロファイルを作成します。

   • ［Devices（デバイス）］>［Configuration（構成）］>［Create profile（プロファイルの作成）］に移動します。

     1. プラットフォーム：Windows 10 and later

     2. プロファイルタイプ：Template

     3. テンプレート名：Custom

2. OMA-URI行を追加します。

   • ［OMA-URI］プロパティにLNA URIを入力します：

     1. ./Device/Vendor/MSFT/Registry/HKLM/SOFTWARE/Policies/Google/Chrome/LocalNetworkAccessAllowedForUrls

   • ［Value（値）］プロパティの許可リストに登録するURLを入力します

   • 複数のURLを入力する場合は、URLごとに一意の行を作成し、OMA-URIに番号を付けます

     1. 例：./Device/Vendor/MSFT…LocalNetworkAccessAllowedForUrls/1

3. プロファイルを目的のグループに割り当てて、テストに進みます。

macOS

macOSデバイスがMDMによって管理される場合、Chromeのカスタムペイロードで構成プロファイル（.mobileconfig）をデプロイします。ペイロードには、com.google.Chrome優先ドメインの次のキーと値が含まれます。

以下は、.plistスニペットの例です。

XML

<key>LocalNetworkAccessAllowedForUrls</key> <array> <string>https://atko.okta.com</string> <string>https://[*.]okta.com</string> <string>https://login.yourdomain.com</string> <string>https://[*.]yourdomain.com</string> </array> <key>LocalNetworkAccessRestrictionsEnabled</key> <true/>

Android（管理対象アプリ構成を使用した場合）

管理対象Androidデバイスの場合、Google ChromeアプリのMDMの管理対象アプリ構成機能を使用してポリシーをプッシュできます。

1. MDMコンソールでは、Google Chromeのアプリ構成設定に移動します。

2. 次のキーと値を使用して新しい構成を追加します。形式は、Google Workspaceに使用されたものと同様のJSONブロックになります。

JSON

{ "LocalNetworkAccessAllowedForUrls": [ "https://atko.okta.com", "https://[*.]okta.com", "https://login.yourdomain.com", "https://[*.]yourdomain.com" ], "LocalNetworkAccessRestrictionsEnabled": true } 

ローカルネットワークアクセスの設定の詳細については、次のリンクを参照してください - リンク

テスト

1. 設定を割り当てたブラウザーを開きます。

2. 検索バーに「chrome://policy」と入力して、ポリシーがブラウザーに適用されていることを確認します。

   • LocalNetworkAccessAllowedForUrlsポリシーを探し、OktaのURLがリストされていることを確認します。
3. 検索バーに「chrome://flags」と入力します。［Local Network Access Checks（ローカルネットワークアクセスチェック）］設定を見つけて、［Enabled（有効）］に設定します（Chrome M141がリリースされるまで、デフォルトでは有効ではありません）。

4. FastPassでサインインします。

よくある質問

Q：これはセキュリティリスクですか？Oktaはほかのデバイスにアクセスしますか？

A：しません。これはセキュリティやプライバシーのリスクではありません。Oktaでは、サインインに使用しているデバイスでのOkta Verifyとの通信にのみ、ローカルネットワーク接続が使用されます。他の情報を読み取ったり、ネットワーク上のほかのデバイスに接続したりすることはありません。
 

Q：このプロンプトは何回表示されますか？

A：デバイスごとに1回だけ［許可］をクリックする必要があります。権限を付与すると、そのデバイスではプロンプトが再度表示されなくなります。
 

Q：モバイルデバイスを使用している場合はどのようになりますか？

A：このプロンプトは、モバイルデバイスでも表示されます。組織がデバイスを管理している場合は、Androidデバイスに対して設定を事前承認できます。これを行わない場合、ユーザーはOkta FastPassを初めて使用するときにプロンプトを受け入れる必要があります。
 

Q：ユーザーが誤って［ブロック］をクリックした場合はどのようになりますか？

A：ユーザーが誤って権限をブロックした場合は、OktaドメインのChromeのサイト設定で直接リセットできます。

1. Oktaサインインページで、アドレスバーの左側にある南京錠のアイコン（またはチューンアイコン）をクリックして、サイト設定メニューを開きます。
2. ［ローカルネットワークへのアクセス］の設定を見つけます。
3. トグルを使用して、権限を［ブロック］から［許可］に戻します。
4. ページを再読み込みします。Okta FastPassが正しく機能するようになります。