Okta Hardening

Reading time: 11 minutes

Directory

People

हमलावर के दृष्टिकोण से, यह बहुत दिलचस्प है क्योंकि आप सभी पंजीकृत उपयोगकर्ताओं को देख सकेंगे, उनके ईमेल पते, वे समूह जिनका वे हिस्सा हैं, प्रोफाइल और यहां तक कि डिवाइस (मोबाइल और उनके OS)।

एक व्हाइटबॉक्स समीक्षा के लिए जांचें कि "लंबित उपयोगकर्ता क्रिया" और "पासवर्ड रीसेट" नहीं हैं।

Groups

यहां आप Okta में बनाए गए सभी समूहों को पाएंगे। यह समझना दिलचस्प है कि विभिन्न समूहों (अनुमतियों का सेट) को उपयोगकर्ताओं को दिया जा सकता है।
यह देखना संभव है कि समूहों में शामिल लोग और प्रत्येक समूह को असाइन किए गए ऐप्स क्या हैं।

बेशक, admin नाम वाले किसी भी समूह में दिलचस्पी है, विशेष रूप से समूह Global Administrators, सदस्यों की जांच करें ताकि यह पता चल सके कि सबसे विशेषाधिकार प्राप्त सदस्य कौन हैं।

एक व्हाइटबॉक्स समीक्षा से, 5 से अधिक वैश्विक प्रशासक नहीं होने चाहिए (यदि केवल 2 या 3 हैं तो बेहतर है)।

Devices

यहां सभी उपयोगकर्ताओं के सभी उपकरणों की सूची प्राप्त करें। आप यह भी देख सकते हैं कि इसे सक्रिय रूप से प्रबंधित किया जा रहा है या नहीं।

Profile Editor

यहां यह देखना संभव है कि कैसे प्रमुख जानकारी जैसे पहले नाम, अंतिम नाम, ईमेल, उपयोगकर्ता नाम... Okta और अन्य अनुप्रयोगों के बीच साझा की जाती है। यह दिलचस्प है क्योंकि यदि एक उपयोगकर्ता Okta में एक फ़ील्ड (जैसे उसका नाम या ईमेल) को संशोधित कर सकता है, जिसका उपयोग एक बाहरी अनुप्रयोग द्वारा उपयोगकर्ता की पहचान के लिए किया जाता है, तो एक अंदरूनी व्यक्ति अन्य खातों को अपने कब्जे में लेने की कोशिश कर सकता है।

इसके अलावा, Okta के प्रोफाइल User (default) में आप देख सकते हैं कि प्रत्येक उपयोगकर्ता के पास कौन से फ़ील्ड हैं और कौन से उपयोगकर्ताओं द्वारा लिखने योग्य हैं। यदि आप व्यवस्थापक पैनल नहीं देख सकते हैं, तो बस अपनी प्रोफाइल जानकारी को अपडेट करने के लिए जाएं और आप देखेंगे कि आप कौन से फ़ील्ड अपडेट कर सकते हैं (ध्यान दें कि एक ईमेल पते को अपडेट करने के लिए आपको इसकी पुष्टि करनी होगी)।

Directory Integrations

डायरेक्टरीज़ आपको मौजूदा स्रोतों से लोगों को आयात करने की अनुमति देती हैं। मुझे लगता है कि यहां आप अन्य डायरेक्टरीज़ से आयातित उपयोगकर्ताओं को देखेंगे।

मैंने इसे नहीं देखा है, लेकिन मुझे लगता है कि यह पता लगाने के लिए दिलचस्प है कि Okta अन्य डायरेक्टरीज़ का उपयोग कर रहा है ताकि यदि आप उस डायरेक्टरी को समझौता कर लें, तो आप Okta में बनाए गए उपयोगकर्ताओं में कुछ विशेषताओं के मान सेट कर सकें और शायद Okta वातावरण को समझौता कर सकें।

Profile Sources

एक प्रोफाइल स्रोत एक ऐसा अनुप्रयोग है जो उपयोगकर्ता प्रोफाइल विशेषताओं के लिए सत्य का स्रोत के रूप में कार्य करता है। एक उपयोगकर्ता केवल एक समय में एक ही अनुप्रयोग या डायरेक्टरी द्वारा स्रोत किया जा सकता है।

मैंने इसे नहीं देखा है, इसलिए इस विकल्प के संबंध में सुरक्षा और हैकिंग के बारे में कोई भी जानकारी सराहनीय है।

Customizations

Brands

इस अनुभाग के Domains टैब में जांचें कि ईमेल पते क्या हैं जो ईमेल भेजने के लिए उपयोग किए जाते हैं और कंपनी का Okta में कस्टम डोमेन (जिसे आप शायद पहले से जानते हैं)।

इसके अलावा, Setting टैब में, यदि आप व्यवस्थापक हैं, तो आप "कस्टम साइन-आउट पृष्ठ का उपयोग करें" और एक कस्टम URL सेट कर सकते हैं।

SMS

यहां कुछ दिलचस्प नहीं है।

End-User Dashboard

आप यहां कॉन्फ़िगर किए गए अनुप्रयोगों को पा सकते हैं, लेकिन हम बाद में एक अलग अनुभाग में उनके विवरण देखेंगे।

Other

दिलचस्प सेटिंग, लेकिन सुरक्षा के दृष्टिकोण से कुछ सुपर दिलचस्प नहीं है।

Applications

Applications

यहां आप सभी कॉन्फ़िगर किए गए अनुप्रयोगों और उनके विवरण को पा सकते हैं: किसके पास उन तक पहुंच है, यह कैसे कॉन्फ़िगर किया गया है (SAML, OPenID), लॉगिन के लिए URL, Okta और अनुप्रयोग के बीच मैपिंग...

Sign On टैब में एक फ़ील्ड भी है जिसे Password reveal कहा जाता है जो एक उपयोगकर्ता को अनुप्रयोग सेटिंग्स की जांच करते समय अपना पासवर्ड प्रकट करने की अनुमति देगा। उपयोगकर्ता पैनल से किसी अनुप्रयोग की सेटिंग्स की जांच करने के लिए, 3 बिंदुओं पर क्लिक करें:

और आप ऐप के बारे में कुछ और विवरण देख सकते हैं (जैसे पासवर्ड प्रकट करने की सुविधा, यदि यह सक्षम है):

Identity Governance

Access Certifications

Access Certifications का उपयोग करें ताकि आप अपने उपयोगकर्ताओं की संसाधनों तक पहुंच की समीक्षा करने के लिए ऑडिट अभियान बना सकें और आवश्यक होने पर स्वचालित रूप से पहुंच को मंजूरी या रद्द कर सकें।

मैंने इसका उपयोग होते नहीं देखा है, लेकिन मुझे लगता है कि एक रक्षात्मक दृष्टिकोण से यह एक अच्छा फीचर है।

Security

General

• सुरक्षा सूचना ईमेल: सभी को सक्षम होना चाहिए।
• CAPTCHA एकीकरण: कम से कम अदृश्य reCaptcha सेट करना अनुशंसित है
• संगठन सुरक्षा: सब कुछ सक्षम किया जा सकता है और सक्रियण ईमेल को लंबे समय तक नहीं रहना चाहिए (7 दिन ठीक है)
• उपयोगकर्ता गणना रोकथाम: दोनों को सक्षम होना चाहिए
• ध्यान दें कि उपयोगकर्ता गणना रोकथाम तब प्रभावी नहीं होती यदि निम्नलिखित में से कोई भी स्थिति अनुमति दी जाती है (अधिक जानकारी के लिए User management देखें):
• स्व-सेवा पंजीकरण
• ईमेल प्रमाणीकरण के साथ JIT प्रवाह
• Okta ThreatInsight सेटिंग्स: खतरे के स्तर के आधार पर सुरक्षा को लॉग और लागू करें

HealthInsight

यहां सही और खतरनाक कॉन्फ़िगर की गई सेटिंग्स को ढूंढना संभव है।

Authenticators

यहां आप सभी प्रमाणीकरण विधियों को पा सकते हैं जिनका उपयोग एक उपयोगकर्ता कर सकता है: पासवर्ड, फोन, ईमेल, कोड, WebAuthn... पासवर्ड प्रमाणीकरण में क्लिक करने पर आप पासवर्ड नीति देख सकते हैं। जांचें कि यह मजबूत है।

Enrollment टैब में आप देख सकते हैं कि कौन से आवश्यक या वैकल्पिक हैं:

फोन को अक्षम करना अनुशंसित है। सबसे मजबूत संभवतः पासवर्ड, ईमेल और WebAuthn का संयोजन है।

Authentication policies

हर ऐप की एक प्रमाणीकरण नीति होती है। प्रमाणीकरण नीति यह सत्यापित करती है कि जो उपयोगकर्ता ऐप में साइन इन करने का प्रयास कर रहे हैं वे विशिष्ट शर्तों को पूरा करते हैं, और यह उन शर्तों के आधार पर कारक आवश्यकताओं को लागू करती है।

यहां आप प्रत्येक अनुप्रयोग तक पहुंचने की आवश्यकताएँ पा सकते हैं। प्रत्येक अनुप्रयोग के लिए कम से कम पासवर्ड और एक अन्य विधि का अनुरोध करना अनुशंसित है। लेकिन यदि आप हमलावर के रूप में कुछ कमजोर पाते हैं तो आप इसे हमले के लिए उपयोग कर सकते हैं।

Global Session Policy

यहां आप विभिन्न समूहों को असाइन की गई सत्र नीतियों को पा सकते हैं। उदाहरण के लिए:

MFA का अनुरोध करना, सत्र की अवधि को कुछ घंटों तक सीमित करना, ब्राउज़र एक्सटेंशन के बीच सत्र कुकीज़ को बनाए न रखना और स्थान और पहचान प्रदाता को सीमित करना (यदि यह संभव है) अनुशंसित है। उदाहरण के लिए, यदि प्रत्येक उपयोगकर्ता को एक देश से लॉगिन करना चाहिए, तो आप केवल इस स्थान की अनुमति दे सकते हैं।

Identity Providers

पहचान प्रदाता (IdPs) सेवाएँ हैं जो उपयोगकर्ता खातों का प्रबंधन करती हैं। Okta में IdPs जोड़ने से आपके अंत उपयोगकर्ताओं को एक सामाजिक खाते या स्मार्ट कार्ड के साथ पहले प्रमाणीकरण करके आपके कस्टम अनुप्रयोगों के साथ स्व-पंजीकरण करने की अनुमति मिलती है।

पहचान प्रदाताओं के पृष्ठ पर, आप सामाजिक लॉगिन (IdPs) जोड़ सकते हैं और इनबाउंड SAML जोड़कर Okta को एक सेवा प्रदाता (SP) के रूप में कॉन्फ़िगर कर सकते हैं। एक बार जब आप IdPs जोड़ लेते हैं, तो आप उपयोगकर्ताओं को संदर्भ के आधार पर IdP पर निर्देशित करने के लिए रूटिंग नियम सेट कर सकते हैं, जैसे उपयोगकर्ता का स्थान, डिवाइस, या ईमेल डोमेन।

यदि कोई पहचान प्रदाता कॉन्फ़िगर किया गया है तो हमलावर और रक्षक के दृष्टिकोण से उस कॉन्फ़िगरेशन की जांच करें और यदि स्रोत वास्तव में विश्वसनीय है क्योंकि एक हमलावर इसे समझौता कर सकता है और Okta वातावरण तक पहुंच प्राप्त कर सकता है।

Delegated Authentication

प्रतिनिधि प्रमाणीकरण उपयोगकर्ताओं को अपने संगठन के Active Directory (AD) या LDAP सर्वर के लिए क्रेडेंशियल दर्ज करके Okta में साइन इन करने की अनुमति देता है।

फिर से, इसे फिर से जांचें, क्योंकि एक हमलावर यदि किसी संगठन के AD को समझौता कर लेता है तो वह इस सेटिंग के कारण Okta में पिवट करने में सक्षम हो सकता है।

Network

एक नेटवर्क क्षेत्र एक कॉन्फ़िगर करने योग्य सीमा है जिसका उपयोग आप अपने संगठन में कंप्यूटरों और उपकरणों तक पहुंच देने या प्रतिबंधित करने के लिए कर सकते हैं जो IP पते के आधार पर अनुरोध कर रहे हैं। आप एक या अधिक व्यक्तिगत IP पते, IP पते की रेंज, या भौगोलिक स्थान निर्दिष्ट करके एक नेटवर्क क्षेत्र को परिभाषित कर सकते हैं।

एक बार जब आप एक या अधिक नेटवर्क क्षेत्रों को परिभाषित कर लेते हैं, तो आप उन्हें वैश्विक सत्र नीतियों, प्रमाणीकरण नीतियों, VPN सूचनाओं, और रूटिंग नियमों में उपयोग कर सकते हैं।

हमलावर के दृष्टिकोण से यह जानना दिलचस्प है कि कौन से Ps की अनुमति है (और जांचें कि क्या कोई IPs अन्य से अधिक विशेषाधिकार प्राप्त हैं)। हमलावर के दृष्टिकोण से, यदि उपयोगकर्ताओं को किसी विशिष्ट IP पते या क्षेत्र से पहुंच प्राप्त करनी चाहिए, तो जांचें कि यह सुविधा सही तरीके से उपयोग की जा रही है।

Device Integrations

• Endpoint Management: एंडपॉइंट प्रबंधन एक ऐसी स्थिति है जिसे प्रमाणीकरण नीति में लागू किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि प्रबंधित उपकरणों को एक अनुप्रयोग तक पहुंच प्राप्त है।
• मैंने अभी तक इसका उपयोग होते नहीं देखा है। TODO
• Notification services: मैंने अभी तक इसका उपयोग होते नहीं देखा है। TODO

API

आप इस पृष्ठ पर Okta API टोकन बना सकते हैं, और देख सकते हैं कि कौन से बनाए गए हैं, उनके विशेषाधिकार, समाप्ति समय और Origin URLs। ध्यान दें कि API टोकन उन अनुमतियों के साथ उत्पन्न होते हैं जो उपयोगकर्ता ने टोकन बनाया है और केवल तभी मान्य होते हैं जब उपयोगकर्ता जो उन्हें बनाता है वह सक्रिय हो।

Trusted Origins उन वेबसाइटों को पहुंच प्रदान करते हैं जिन्हें आप नियंत्रित करते हैं और Okta API के माध्यम से आपके Okta संगठन तक पहुंचने के लिए विश्वसनीय हैं।

API टोकन की संख्या अधिक नहीं होनी चाहिए, क्योंकि यदि ऐसा होता है तो एक हमलावर उन्हें एक्सेस करने और उनका उपयोग करने की कोशिश कर सकता है।

Workflow

Automations

स्वचालन आपको स्वचालित क्रियाएँ बनाने की अनुमति देता है जो अंत उपयोगकर्ताओं के जीवन चक्र के दौरान होने वाली एक सेट ट्रिगर शर्तों के आधार पर चलती हैं।

उदाहरण के लिए, एक शर्त हो सकती है "Okta में उपयोगकर्ता की निष्क्रियता" या "Okta में उपयोगकर्ता का पासवर्ड समाप्ति" और क्रिया हो सकती है "उपयोगकर्ता को ईमेल भेजें" या "Okta में उपयोगकर्ता जीवन चक्र की स्थिति बदलें"।

Reports

Reports

लॉग डाउनलोड करें। ये वर्तमान खाते के ईमेल पते पर भेजे जाते हैं।

System Log

यहां आप उपयोगकर्ताओं द्वारा किए गए कार्यों के लॉग को बहुत सारे विवरणों के साथ पा सकते हैं जैसे Okta में लॉगिन करना या Okta के माध्यम से अनुप्रयोगों में लॉगिन करना।

Import Monitoring

यह अन्य प्लेटफार्मों से लॉग आयात कर सकता है जो Okta के साथ एक्सेस किए गए हैं।

Rate limits

API दर सीमाओं की जांच करें।

Settings

Account

यहां आप Okta वातावरण के बारे में सामान्य जानकारी पा सकते हैं, जैसे कंपनी का नाम, पता, ईमेल बिलिंग संपर्क, ईमेल तकनीकी संपर्क और यह भी कि किसे Okta अपडेट प्राप्त करने चाहिए और किस प्रकार के Okta अपडेट।

Downloads

यहां आप अन्य तकनीकों के साथ Okta को समन्वयित करने के लिए Okta एजेंट डाउनलोड कर सकते हैं।