Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OCI IAM Identity Domains MFAやIPアドレス制御を実現するサインオンポリシー/Identity Domain Sign On Policy

OCI IAM Identity Domains MFAやIPアドレス制御を実現するサインオンポリシー/Identity Domain Sign On Policy

oracle4engineer
PRO

August 03, 2022
Tweet

More Decks by oracle4engineer

Other Decks in Technology

Transcript

  1. OCI IAM Identity Domains MFAやIPアドレス制御(ネットワークペリメータ)を利用する サインオンポリシー設定手順 日本オラクル株式会社 2022/8/1

  2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

    © 2022, Oracle and/or its affiliates 2
  3. 3 Copyright © 2022, Oracle and/or its affiliates 目次 サインオン・ポリシーの概要

    OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) 個別アプリケーションに対するサインオン・ポリシーの設定 (メールを利用したMFA) 1 2 3 4
  4. 1. サインオン・ポリシーの概要 Copyright © 2022, Oracle and/or its affiliates 4

  5. サインオン・ポリシー アプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 サインオン・ポリシー Copyright © 2022, Oracle and/or its affiliates

    5 インターネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス + 管理者権限 ログイン拒否 社外からのアクセス 二要素認証 Web業務アプリケーション 社内からのアクセス パスワード認証 サインオン・ルールの例 • サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可 / 拒否 / 再認証の要求 / 多要素認証の要求 のいずれかの対応を設定することが可能 • サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 • サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の具体的な条件や条件が当てはまる場合のアクションを指定 条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • IDCSの管理者権限の有無 アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制 条件 アクション 他社クラウドサービス Oracle PaaS/SaaS
  6. 全体/個別アプリケーションへのサインオン・ポリシー適用 Copyright © 2022, Oracle and/or its affiliates 6 •

    デフォルトの状態で全体(すべてのアプリケーション)に適用するためのサインオン・ポリシー「Default Sign-On Policy」を用意  「Default Sign-On Policy」の中で細かなサインオン・ルール(条件、アクション)を複数定義可能 • 個別アプリケーションにのみ適用したい場合には別途カスタムサインオン・ポリシーを作成  作成したカスタムポリシーの中で細かなサインオン・ルール(条件、アクション)を複数定義可能 • サインオン・ポリシーの中のサインオン・ルールには評価順序の設定が可能(順序順に評価) OCIコンソールを含め 全てのアプリケーションに適用したい場合 Default Sign-On Policy OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション サインオン・ルール1 サインオン・ルール2 サインオン・ルール3 …. Default Sign-On Policyに ルールを自由に定義 ※Default Sign-On Policyは削除できません 個別アプリケーションにのみ適用したい場合 カスタム Sign-On Policy クラウドサービスA サインオン・ルール1 サインオン・ルール2 サインオン・ルール3 …. カスタム・サインオン・ポリシーを作成し ルールを自由に定義 ※カスタム・サインオン・ポリシーは削除可能 アプリケーションA カスタム・サインオン・ポリシーに 適用対象アプリケーションを登録 適用対象アプリケーションの 登録不要 評価順 評価順
  7. サインオン・ルールで使うネットワークペリメータ Copyright © 2022, Oracle and/or its affiliates 7 •

    サインオン・ルールで接続元IPアドレスを条件で利用したい場合、利用するIPアドレスを「ネットワーク・ペリメータ」として事前に定義 • 条件に利用するIPアドレスが変更となっても、サインオン・ルールに影響与えずネットワーク・ペリメータのみの変更で対応可能 • ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能  1つのIPアドレスを登録(例:10.0.0.1)  カンマ区切りで複数のIPアドレスを登録(例:10.0.0.1,10.0.0.1,10.1.0.100)  ハイフンを利用しIPアドレス範囲を登録(例:10.0.0.1-10.0.0.100)  CIDR表記によるIPアドレス範囲を登録(例:10.0.0.1/16) Default Sign-On Policy 【サインオン・ルール1】 ネットワーク・ペリメータ「社内」の場合 2要素認証
  8. 二要素認証 サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2022, Oracle and/or its affiliates 8

     管理者は任意の二要素認証の手段を選択して有効化することが可能  モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能  二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供 メール SMS モバイル アプリケーション 【二要素認証の要素】 モバイル アプリケーション FIDO2 ワンタイム・パスコード 通知 秘密の質問 生体認証 ※Oracle Mobile Authenticatorのみ利用可 ※将来公開予定
  9. 2. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates

    9
  10. Copyright © 2022, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 10 •

    サインオン・ポリシー「Default Sign-On Policy」に対して条件なしで二要素認証のアクションを定義し、アクセス者全員が アイデンティティ・ドメイン全体(OCIコンソールを含むすべてのアプリケーション)にアクセスする際にMFAの適用を行います。 社 外 NW 全員 アプリケーション全体 OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション Default Sign-On Policy 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 社 外 NW 全員 パスワード認証 2要素認証 (モバイルアプリ利用) なし (無条件) 2要素認証要求 (モバイルアプリ利用) 条件 アクション ルール1
  11. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 11

    1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて「Default」を選択し、ID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。
  12. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 12

    2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。
  13. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 13

    3) 「ドメイン」を選択し、ルートコンパートメントを選択し、ドメイン「Default」を選択します。
  14. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 14

    4)2要素認証の要素を有効化するため、左側メニューより「セキュリティ」ー「MFA」を選択します。 ファクタ部分にて「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通知」をチェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみでは MFA利用は有効になりません。 MFA利用には後続のサインオンポリシーの 設定が必要になります。 例:iPhone/Androidアプリで認証する場合は、 ”モバイル・アプリケーション・パスコード”をチェックする (詳細設定は”モバイル”下の”構成”をクリック)
  15. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 15

    5)サインオン・ポリシーの設定のため、左メニューより「セキュリティ」-「サインオン・ポリシー」を選択します。 「Default Sign-On Policy」を選択します。
  16. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 16

    6)Default Sign-On Policy詳細画面にて、左下のリソース部分の「サインオン・ルール」を選択し、 「サインオン・ルールの追加」を選択します。 ※Default Sign-On Policyには「Default Sign-On Rule」というルールがあらかじめ作成されています。 この「Default Sign-On Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、 「Default Sign-On Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。
  17. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 17

    7)サインオン・ルールの作成にて、ルール名に任意の値を入力し、条件部分はデフォルトの状態(無条件)にします。 アクション部分にて「アクセスの許可」、「追加ファクタの要求」をチェックONにし、「任意のファクタ」、頻度「毎回」、登録「必須」をチェックON にし、「サインオン・ルールの追加」をを選択します。
  18. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 18

    8)サインオンルールが作成されたことを確認し、作成したルールの評価順序を定義するために「優先度の編集」を選択します。
  19. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 19

    9)優先度の編集画面にて作成したサインオン・ルールの上下マークを操作し優先度1に設定します。 「変更の保存」を選択します。
  20. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 20

    10)最後に優先度が設定した通りになっていることを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況に なる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認 を行うことを強くお勧めします。
  21. 動作確認 Copyright © 2022, Oracle and/or its affiliates 21 1)

    モバイル(iPhone/Android)にアプリケーション「 Oracle Mobile Authenticator」をインストールしておきます。 2) OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて「Default」を選択し、ID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。
  22. Default 動作確認 Copyright © 2022, Oracle and/or its affiliates 22

    2)2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。 ※2要素認証を有効化し始めてのログイン時に、この各ユーザー毎の2要素認証有効化の設定画面が表示されます。 「セキュアな検証の有効化」を選択します。 優先度1に設定したサインオン・ルールが 適用されたことになります。
  23. 動作確認 Copyright © 2022, Oracle and/or its affiliates 23 3)モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。

    モバイルアプリケーション側で登録が完了すると画面が先に進みます。
  24. 動作確認 Copyright © 2022, Oracle and/or its affiliates 24 5)正常登録されたメッセージが表示されたことを確認し、「完了」を選択します。

    ※初回アクセスはモバイルアプリケーションの登録のみでログインができます。
  25. 動作確認 Copyright © 2022, Oracle and/or its affiliates 25 6)次からのログイン時にはID/パスワードを入力後にモバイルアプリケーションでの操作依頼の画面表示されます。

    モバイルアプリケーション側に届いている通知の「許可」を選択するとOCIコンソールにログインが可能です。 Default Default モバイルアプリケーションのイメージ
  26. 動作確認 Copyright © 2022, Oracle and/or its affiliates 26 補足)モバイルアプリケーションのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。

    「モバイル・アプリ ・・・・によって生成されるパスコードを使用」を選択します。 モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。 Default
  27. 3. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates

    27
  28. Copyright © 2022, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 28 •

    サインオン・ポリシー「Default Sign-On Policy」に対してネットワークペリメータやグループを用いた条件や二要素認証のアクションを定義し 1つのアイデンティティ・ドメイン全体(OCIコンソールを含むすべてのアプリケーション)へのポリシー適用を行います。 管理者 社内NWからのアクセス AND Administratorグループ所属 社内NWからのアクセス 社内以外NWからのアクセス 2要素認証要求 (Emailパスコード) アクセス許可 アクセス拒否 条件 アクション 社 外 NW 社 内 NW 一般ユーザー 全員 2要素認証 (Emailパスコード) アプリケーション全体 OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション パスワード認証 ルール1 ルール2 ルール3 Default Sign-On Policy 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】
  29. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 29

    1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択し、ID/パスワードを入力し OCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。
  30. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 30

    2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。
  31. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 31

    3)「ドメイン」を選択、対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。
  32. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 32

    4)2要素認証の要素を有効化するため、左側メニューより「セキュリティ」ー「MFA」を選択します。 ファクタ部分にて「電子メール」をチェックONにし、「変更の保存」を選択します。
  33. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 33

    5)ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。 「ネットワーク・ペリメータの作成」を選択します。
  34. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 34

    6)ネットワーク・ペリメータの作成画面にて、名前に適当な名前(今回は社内NWと分かるような名前)と IPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータが登録されたことを確認します。
  35. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 35

    7)サインオン・ポリシーの設定のため、左メニューより「セキュリティ」-「サインオン・ポリシー」を選択します。 「Default Sign-On Policy」を選択します。
  36. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 36

    8)Default Sign-On Policy詳細画面にて、左下のリソース部分の「サインオン・ルール」を選択し、 「サインオン・ルールの追加」を選択します。 ※Default Sign-On Policyには「Default Sign-On Rule」というルールがあらかじめ作成されています。 この「Default Sign-On Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、 「Default Sign-On Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。
  37. Copyright © 2022, Oracle and/or its affiliates OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) 37

    8)サインオン・ルールの追加画面にて、「条件:社内NWかつAdministratorグループに所属/アクション:2要素認証要求」 のルールを作成します。 ルール名に適当な値を入力し、グループメンバーシップ部分に「Administrators」を選択します。 クライアントIPアドレスでフィルタ部分で「次のネットワーク・ペリメータに制限します」をチェックONにし、ネットワークペリメータに 上記手順で作成した「Internal Network」を選択します。
  38. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 38

    9)続けて、アクション部分で「アクセスの許可」をチェックONにし、「追加ファクタの要求」をチェックONにします。 「任意のファクタ」、頻度「毎回」、登録「必須」もチェックONにし、「サインオン・ルールの追加」を選択します。
  39. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 39

    10)1つ目のサインオンルールが作成されたことを確認します。 続けて、2つ目のサインオンルールを作成するため「サインオン・ルールの追加」を選択します。
  40. Copyright © 2022, Oracle and/or its affiliates OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) 40

    11)サインオン・ルールの追加画面にて、「条件:社内NW / アクション:アクセス許可」のルールを作成します。 ルール名に適当な値を入力し、クライアントIPアドレスでフィルタ部分で「次のネットワーク・ペリメータに制限します」をチェックONにし、 ネットワークペリメータに上記手順で作成した「Internal Network」を選択します。
  41. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 41

    12)続けて、アクション部分で「アクセスの許可」をチェックONにし、その他はチェックOFFのまま、「サインオン・ルールの追加」を選択します。
  42. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 42

    13)2つ目のサインオンルールが作成されたことを確認します。 続けて、3つ目のサインオンルールを作成するため「サインオン・ルールの追加」を選択します。
  43. Copyright © 2022, Oracle and/or its affiliates OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) 43

    14)サインオン・ルールの追加画面にて、「条件:社内NW以外 / アクション:アクセス拒否」のルールを作成します。 ルール名に適当な値を入力し、条件部分には何も指定せずに、アクション部分にて「アクセスの拒否」をチェックONにします。 「サインオン・ルールの追加」を選択します。
  44. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 44

    15)3つ目のサインオンルールが作成されたことを確認します。 作成した3つのルールの評価順序を定義するために「優先度の編集」を選択します。
  45. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 45

    16)優先度の編集画面にて優先度部分の上下マークを操作し下記の順序に設定します。 優先度1:InternalNW_Admin (条件:社内NWかつAdministratorグループに所属 / アクション:2要素認証要求) 優先度2:InternalNW_NonAdmin (条件:社内NW / アクション:アクセス許可) 優先度3:NoInernalNW (条件:社内NW以外 / アクション:アクセス拒否) 優先度4:Default Sign-On Rule 「変更の保存」を選択します。
  46. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA+IPアドレス制御+所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 46

    17)最後に優先度が設定した通りになっていることを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況に なる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認 を行うことを強くお勧めします。
  47. 動作確認 – 社内NWから管理者によるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    47 1)社内NWからOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。 対象ドメインの管理者グループ(Domain_Administrators)に所属するID/パスワードを入力し「サイン・イン」を選択します。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。
  48. 動作確認 – 社内NWから管理者によるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    48 2)2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。 ※2要素認証を有効化し始めてのログイン時に、この各ユーザー毎の2要素認証有効化の設定画面が表示されます。 「セキュアな検証の有効化」を選択します。 優先度1に設定した サインオン・ルール「InernalNW_Admin」 に該当したことになります。
  49. 動作確認 – 社内NWから管理者によるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    49 3)方法の選択画面にて「電子メール」を選択します。 ※上記設定にて今回は2要素認証のファクタとして「電子メール」を有効化したため、方法の選択には電子メールのみ表示されます。 モバイル等、複数のファクタを有効化した場合には、この方法の選択に複数の方法が表示され、ユーザーが選択することになります。
  50. 動作確認 – 社内NWから管理者によるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    50 4)ログインしたユーザーのメールアドレスにワンタイムパスコードのメールが届いていることを確認し、メール内のワンタイムパスコードを確認します。
  51. 動作確認 – 社内NWから管理者によるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    51 5)「コード」に確認したワンタイムパスコードを入力し、「電子メール・アドレスの確認」を選択します。 正常に登録された旨のメッセージ画面にて「完了」を選択します。
  52. 動作確認 – 社内NWから管理者によるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    52 6)OCIコンソールにアクセスできたことを確認します。
  53. 動作確認 – 社内NWから管理者によるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    53 補足)次からのOCIコンソールアクセスの場合には、ID/パスワードを入力後にワンタイムパスコード入力画面が表示され、 電子メールに届いているワンタイムパスコードを指定し「検証」を選択することでOCIコンソールにアクセスできます。
  54. 動作確認 – 社内NWから一般ユーザーによるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    54 1)社内NWからOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。 一般ユーザーのID/パスワードを入力し「サイン・イン」を選択します。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。
  55. 動作確認 – 社内NWから一般ユーザーによるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    55 2)2要素認証は求められずにOCIコンソールにアクセスできたことを確認します。 優先度2に設定した サインオン・ルール「InernalNW_NonAdmin」 に該当したことになります。
  56. 動作確認 – 社内以外NWからのOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    56 1)社内以外NWからOCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。 管理者または一般ユーザーのID/パスワードを入力し「サイン・イン」を選択します。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。
  57. 動作確認 – 社内以外NWからのOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates

    57 2)サインオンポリシーによりアクセス拒否された画面が表示されることを確認します。 優先度3に設定した サインオン・ルール「NoInernalNW」 に該当したことになります。
  58. 4.個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 58 ※本手順は、上記1.や

    2.の設定は未実施の前提での手順となります。
  59. Copyright © 2022, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 59 •

    個別アプリケーション用にサインオン・ポリシーを1つ作成し、無条件で二要素認証を要求するルールを定義し 該当アプリケーションにポリシー適用を行います。 なし (無条件) 2要素認証要求 (Emailパスコード) 条件 アクション 社 外 NW 全員 2要素認証 (Emailパスコード) アプリケーションA ルール1 カスタム Sign-On Policy 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 社 内 NW 全員 パスワード認証 アプリケーションA 適用
  60. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 60 1)OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。

    テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択し、ID/パスワードを入力し OCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。
  61. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 61 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

  62. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 62 3)「ドメイン」を選択、対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。

  63. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 63 4)2要素認証の要素を有効化するため、左側メニューより「セキュリティ」ー「MFA」を選択します。

    ファクタ部分にて「電子メール」をチェックONにし、「変更の保存」を選択します。
  64. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 64 5)サインオン・ポリシーの設定のため、左メニューより「セキュリティ」-「サインオン・ポリシー」を選択します。

    「サインオン・ポリシーの作成」を選択します。
  65. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 65 6)サインオン・ポリシーの作成画面にて、名前、説明に適当な値を指定し「ポリシーの追加」を選択します。

  66. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 66 7)サインオン・ルールの追加にて、「サインオン・ルールの追加」を選択します。

  67. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 67 8)サインオン・ルールの作成にて、ルール名に適当な値を入力し、条件部分はデフォルトの状態(無条件)にします。

    アクション部分にて「アクセスの許可」、「追加ファクタの要求」をチェックONにし、「任意のファクタ」、頻度「毎回」、登録「必須」をチェックON にし、「サインオン・ルールの追加」をを選択します。
  68. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 68 9)サインオン・ルールが追加されたことを確認し、「次」を選択します。

  69. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 69 10)アプリケーションの追加にて「アプリケーションの追加」を選択します。

    表示されたアプリケーション選択画面にて、本サインオンポリシーを適用するアプリケーションをチェックONにし 「アプリケーションの追加」を選択します。
  70. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 70 11)アプリケーションが追加されたことを確認し、「閉じる」を選択します。

  71. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 71 12)作成したサインオンポリシー詳細画面にて、「サインオンルール」を選択し定義したルールが登録されていることを確認します。

    また、「アプリケーション」を選択し適用対象のアプリケーションが登録されていることを確認します。
  72. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 72 13)作成したサインオンポリシー詳細画面にて、「サインオン・ポリシーのアクティブ化」を選択します。

    表示された確認画面にて「サインオン・ポリシーのアクティブ化」を選択します。
  73. 個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 73 14)最後に作成したサインオンポリシーがアクティブ化されたことを確認します。

    ※本手順では無条件で全員に2要素認証要求としたため1つのサインオン・ルールのみ作成しましたが、グループやネットワーク・ペリメータで条件付けする場合には それら条件に該当しない場合のサインオン・ルールの設定(優先順位:最下位)が必要になります。
  74. 動作確認 – 該当アプリケーションへのアクセス Copyright © 2022, Oracle and/or its affiliates

    74 1)該当個別アプリケーションへアクセスします。
  75. 動作確認 – 該当アプリケーションへのアクセス Copyright © 2022, Oracle and/or its affiliates

    75 2)個別アプリケーションと認証連携しているIdentity Domain(今回は「Prod_IAM_Domain」)のログイン画面が表示され、 ID/パスワードを指定し、サイン・インを選択します。
  76. 動作確認 – 該当アプリケーションへのアクセス Copyright © 2022, Oracle and/or its affiliates

    76 3)2要素認証画面(Emailに送付されたワンタイムパスコード入力画面)が表示されることを確認し、 ワンタイムパスコードを指定し、「検証」を選択します。 4)個別アプリケーションにアクセスできたことを確認します。
  77. 動作確認 –OCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates 77

    1)社内NWからOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。 管理者(Defaultアイデンティティ・ドメインのAdministratorsグループ所属ユーザー)のID/パスワードを入力し「サイン・イン」を選択します。
  78. 動作確認 –OCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates 78

    2)OCIコンソールが表示されることを確認します。 サインオン・ポリシーは個別アプリケーションにのみ適用しているため、 OCIコンソールアクセスの際には適用されません(2要素認証の要求はない)。
  79. None