OCI IAM Identity Domains MFAやIPアドレス制御を実現するサインオンポリシー/Identity Domain Sign On Policy

OCI IAM Identity Domains MFAやIPアドレス制御(ネットワークペリメータ)を利用するサインオンポリシー設定手順日本オラクル株式会社 2022/8/1

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 Copyright
© 2022, Oracle and/or its affiliates 2

3 Copyright © 2022, Oracle and/or its affiliates 目次サインオン・ポリシーの概要
OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA＋IPアドレス制御＋所属グループ制御) 個別アプリケーションに対するサインオン・ポリシーの設定 (メールを利用したMFA） 1 2 3 4

サインオン・ポリシーアプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能サインオン・ポリシー Copyright © 2022, Oracle and/or its affiliates
5 インターネット社内ネットワークサインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス＋管理者権限ログイン拒否社外からのアクセス二要素認証 Web業務アプリケーション社内からのアクセスパスワード認証サインオン・ルールの例 • サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可 / 拒否 / 再認証の要求 / 多要素認証の要求のいずれかの対応を設定することが可能 • サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 • サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の具体的な条件や条件が当てはまる場合のアクションを指定条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • IDCSの管理者権限の有無アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制条件アクション他社クラウドサービス Oracle PaaS/SaaS

全体/個別アプリケーションへのサインオン・ポリシー適用 Copyright © 2022, Oracle and/or its affiliates 6 •
デフォルトの状態で全体(すべてのアプリケーション)に適用するためのサインオン・ポリシー「Default Sign-On Policy」を用意  「Default Sign-On Policy」の中で細かなサインオン・ルール(条件、アクション)を複数定義可能 • 個別アプリケーションにのみ適用したい場合には別途カスタムサインオン・ポリシーを作成  作成したカスタムポリシーの中で細かなサインオン・ルール(条件、アクション)を複数定義可能 • サインオン・ポリシーの中のサインオン・ルールには評価順序の設定が可能（順序順に評価） OCIコンソールを含め全てのアプリケーションに適用したい場合 Default Sign-On Policy OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーションサインオン・ルール1 サインオン・ルール2 サインオン・ルール3 …. Default Sign-On Policyにルールを自由に定義 ※Default Sign-On Policyは削除できません個別アプリケーションにのみ適用したい場合カスタム Sign-On Policy クラウドサービスA サインオン・ルール1 サインオン・ルール2 サインオン・ルール3 …. カスタム・サインオン・ポリシーを作成しルールを自由に定義 ※カスタム・サインオン・ポリシーは削除可能アプリケーションA カスタム・サインオン・ポリシーに適用対象アプリケーションを登録適用対象アプリケーションの登録不要評価順評価順

サインオン・ルールで使うネットワークペリメータ Copyright © 2022, Oracle and/or its affiliates 7 •
サインオン・ルールで接続元IPアドレスを条件で利用したい場合、利用するIPアドレスを「ネットワーク・ペリメータ」として事前に定義 • 条件に利用するIPアドレスが変更となっても、サインオン・ルールに影響与えずネットワーク・ペリメータのみの変更で対応可能 • ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能  1つのIPアドレスを登録（例：10.0.0.1)  カンマ区切りで複数のIPアドレスを登録（例：10.0.0.1,10.0.0.1,10.1.0.100)  ハイフンを利用しIPアドレス範囲を登録（例：10.0.0.1-10.0.0.100)  CIDR表記によるIPアドレス範囲を登録（例：10.0.0.1/16) Default Sign-On Policy 【サインオン・ルール1】ネットワーク・ペリメータ「社内」の場合 2要素認証

二要素認証サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2022, Oracle and/or its affiliates 8
 管理者は任意の二要素認証の手段を選択して有効化することが可能  モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能  二要素認証をパスすると、指定した日数の間同一のWebブラウザからのアクセスでは二要素認証を免除するオプションを提供メール SMS モバイルアプリケーション【二要素認証の要素】モバイルアプリケーション FIDO2 ワンタイム・パスコード通知秘密の質問生体認証 ※Oracle Mobile Authenticatorのみ利用可 ※将来公開予定

２. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates
9

Copyright © 2022, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 10 •
サインオン・ポリシー「Default Sign-On Policy」に対して条件なしで二要素認証のアクションを定義し、アクセス者全員がアイデンティティ・ドメイン全体(OCIコンソールを含むすべてのアプリケーション)にアクセスする際にMFAの適用を行います。社外 NW 全員アプリケーション全体 OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション Default Sign-On Policy 【実現イメージ】【サインオンポリシー構成】社外 NW 全員パスワード認証 2要素認証 (モバイルアプリ利用) なし (無条件) 2要素認証要求 (モバイルアプリ利用) 条件アクションルール1

OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (モバイルアプリケーションを利用したMFA) Copyright © 2022, Oracle and/or its affiliates 11
1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択にて「Default」を選択し、ID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

2）メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

3) 「ドメイン」を選択し、ルートコンパートメントを選択し、ドメイン「Default」を選択します。

4）2要素認証の要素を有効化するため、左側メニューより「セキュリティ」ー「MFA」を選択します。ファクタ部分にて「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通知」をチェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみでは MFA利用は有効になりません。 MFA利用には後続のサインオンポリシーの設定が必要になります。例：iPhone/Androidアプリで認証する場合は、 ”モバイル・アプリケーション・パスコード”をチェックする（詳細設定は”モバイル”下の”構成”をクリック）

5）サインオン・ポリシーの設定のため、左メニューより「セキュリティ」－「サインオン・ポリシー」を選択します。「Default Sign-On Policy」を選択します。

6）Default Sign-On Policy詳細画面にて、左下のリソース部分の「サインオン・ルール」を選択し、「サインオン・ルールの追加」を選択します。 ※Default Sign-On Policyには「Default Sign-On Rule」というルールがあらかじめ作成されています。この「Default Sign-On Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、「Default Sign-On Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

7）サインオン・ルールの作成にて、ルール名に任意の値を入力し、条件部分はデフォルトの状態(無条件)にします。アクション部分にて「アクセスの許可」、「追加ファクタの要求」をチェックONにし、「任意のファクタ」、頻度「毎回」、登録「必須」をチェックON にし、「サインオン・ルールの追加」をを選択します。

8）サインオンルールが作成されたことを確認し、作成したルールの評価順序を定義するために「優先度の編集」を選択します。

9）優先度の編集画面にて作成したサインオン・ルールの上下マークを操作し優先度1に設定します。「変更の保存」を選択します。

10）最後に優先度が設定した通りになっていることを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況になる可能性があります。そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認を行うことを強くお勧めします。

動作確認 Copyright © 2022, Oracle and/or its affiliates 21 1)
モバイル(iPhone/Android)にアプリケーション「 Oracle Mobile Authenticator」をインストールしておきます。 2) OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択にて「Default」を選択し、ID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

Default 動作確認 Copyright © 2022, Oracle and/or its affiliates 22
2）2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。 ※2要素認証を有効化し始めてのログイン時に、この各ユーザー毎の2要素認証有効化の設定画面が表示されます。「セキュアな検証の有効化」を選択します。優先度1に設定したサインオン・ルールが適用されたことになります。

動作確認 Copyright © 2022, Oracle and/or its affiliates 23 3）モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。
モバイルアプリケーション側で登録が完了すると画面が先に進みます。

動作確認 Copyright © 2022, Oracle and/or its affiliates 24 5）正常登録されたメッセージが表示されたことを確認し、「完了」を選択します。
※初回アクセスはモバイルアプリケーションの登録のみでログインができます。

動作確認 Copyright © 2022, Oracle and/or its affiliates 25 6）次からのログイン時にはID/パスワードを入力後にモバイルアプリケーションでの操作依頼の画面表示されます。
モバイルアプリケーション側に届いている通知の「許可」を選択するとOCIコンソールにログインが可能です。 Default Default モバイルアプリケーションのイメージ

動作確認 Copyright © 2022, Oracle and/or its affiliates 26 補足）モバイルアプリケーションのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。
「モバイル・アプリ・・・・によって生成されるパスコードを使用」を選択します。モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。 Default

３. OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA＋IPアドレス制御＋所属グループ制御) Copyright © 2022, Oracle and/or its affiliates
27

サインオン・ポリシー「Default Sign-On Policy」に対してネットワークペリメータやグループを用いた条件や二要素認証のアクションを定義し 1つのアイデンティティ・ドメイン全体(OCIコンソールを含むすべてのアプリケーション)へのポリシー適用を行います。管理者社内NWからのアクセス AND Administratorグループ所属社内NWからのアクセス社内以外NWからのアクセス 2要素認証要求 (Emailパスコード) アクセス許可アクセス拒否条件アクション社外 NW 社内 NW 一般ユーザー全員 2要素認証 (Emailパスコード) アプリケーション全体 OCIコンソール Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーションパスワード認証ルール1 ルール2 ルール3 Default Sign-On Policy 【実現イメージ】【サインオンポリシー構成】

OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA＋IPアドレス制御＋所属グループ制御) Copyright © 2022, Oracle and/or its affiliates 29
1）OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択し、ID/パスワードを入力し OCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

2）メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

3）「ドメイン」を選択、対象ドメインが存在するコンパートメントを指定し、対象ドメインを選択します。

4）2要素認証の要素を有効化するため、左側メニューより「セキュリティ」ー「MFA」を選択します。ファクタ部分にて「電子メール」をチェックONにし、「変更の保存」を選択します。

5）ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。「ネットワーク・ペリメータの作成」を選択します。

6）ネットワーク・ペリメータの作成画面にて、名前に適当な名前(今回は社内NWと分かるような名前)と IPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。ネットワーク・ペリメータが登録されたことを確認します。

7）サインオン・ポリシーの設定のため、左メニューより「セキュリティ」－「サインオン・ポリシー」を選択します。「Default Sign-On Policy」を選択します。

8）Default Sign-On Policy詳細画面にて、左下のリソース部分の「サインオン・ルール」を選択し、「サインオン・ルールの追加」を選択します。 ※Default Sign-On Policyには「Default Sign-On Rule」というルールがあらかじめ作成されています。この「Default Sign-On Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、「Default Sign-On Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Copyright © 2022, Oracle and/or its affiliates OCIコンソールを含むアイデンティティドメイン全体に対するサインオン・ポリシーの設定 (メールを利用したMFA＋IPアドレス制御＋所属グループ制御) 37
8）サインオン・ルールの追加画面にて、「条件：社内NWかつAdministratorグループに所属/アクション：2要素認証要求」のルールを作成します。ルール名に適当な値を入力し、グループメンバーシップ部分に「Administrators」を選択します。クライアントIPアドレスでフィルタ部分で「次のネットワーク・ペリメータに制限します」をチェックONにし、ネットワークペリメータに上記手順で作成した「Internal Network」を選択します。

9）続けて、アクション部分で「アクセスの許可」をチェックONにし、「追加ファクタの要求」をチェックONにします。「任意のファクタ」、頻度「毎回」、登録「必須」もチェックONにし、「サインオン・ルールの追加」を選択します。

10）1つ目のサインオンルールが作成されたことを確認します。続けて、2つ目のサインオンルールを作成するため「サインオン・ルールの追加」を選択します。

11）サインオン・ルールの追加画面にて、「条件：社内NW / アクション：アクセス許可」のルールを作成します。ルール名に適当な値を入力し、クライアントIPアドレスでフィルタ部分で「次のネットワーク・ペリメータに制限します」をチェックONにし、ネットワークペリメータに上記手順で作成した「Internal Network」を選択します。

12）続けて、アクション部分で「アクセスの許可」をチェックONにし、その他はチェックOFFのまま、「サインオン・ルールの追加」を選択します。

13）2つ目のサインオンルールが作成されたことを確認します。続けて、3つ目のサインオンルールを作成するため「サインオン・ルールの追加」を選択します。

14）サインオン・ルールの追加画面にて、「条件：社内NW以外 / アクション：アクセス拒否」のルールを作成します。ルール名に適当な値を入力し、条件部分には何も指定せずに、アクション部分にて「アクセスの拒否」をチェックONにします。「サインオン・ルールの追加」を選択します。

15）3つ目のサインオンルールが作成されたことを確認します。作成した3つのルールの評価順序を定義するために「優先度の編集」を選択します。

16）優先度の編集画面にて優先度部分の上下マークを操作し下記の順序に設定します。優先度1：InternalNW_Admin (条件：社内NWかつAdministratorグループに所属 / アクション：2要素認証要求) 優先度2：InternalNW_NonAdmin (条件：社内NW / アクション：アクセス許可) 優先度3：NoInernalNW (条件：社内NW以外 / アクション：アクセス拒否) 優先度4：Default Sign-On Rule 「変更の保存」を選択します。

17）最後に優先度が設定した通りになっていることを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況になる可能性があります。そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認を行うことを強くお勧めします。

動作確認 – 社内NWから管理者によるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates
47 1）社内NWからOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。対象ドメインの管理者グループ(Domain_Administrators)に所属するID/パスワードを入力し「サイン・イン」を選択します。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。

48 2）2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。 ※2要素認証を有効化し始めてのログイン時に、この各ユーザー毎の2要素認証有効化の設定画面が表示されます。「セキュアな検証の有効化」を選択します。優先度1に設定したサインオン・ルール「InernalNW_Admin」に該当したことになります。

49 3）方法の選択画面にて「電子メール」を選択します。 ※上記設定にて今回は2要素認証のファクタとして「電子メール」を有効化したため、方法の選択には電子メールのみ表示されます。モバイル等、複数のファクタを有効化した場合には、この方法の選択に複数の方法が表示され、ユーザーが選択することになります。

50 4）ログインしたユーザーのメールアドレスにワンタイムパスコードのメールが届いていることを確認し、メール内のワンタイムパスコードを確認します。

51 5）「コード」に確認したワンタイムパスコードを入力し、「電子メール・アドレスの確認」を選択します。正常に登録された旨のメッセージ画面にて「完了」を選択します。

52 6）OCIコンソールにアクセスできたことを確認します。

53 補足）次からのOCIコンソールアクセスの場合には、ID/パスワードを入力後にワンタイムパスコード入力画面が表示され、電子メールに届いているワンタイムパスコードを指定し「検証」を選択することでOCIコンソールにアクセスできます。

動作確認 – 社内NWから一般ユーザーによるOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates
54 1）社内NWからOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。一般ユーザーのID/パスワードを入力し「サイン・イン」を選択します。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。

動作確認 – 社内以外NWからのOCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates
56 1）社内以外NWからOCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。管理者または一般ユーザーのID/パスワードを入力し「サイン・イン」を選択します。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。

個別アプリケーション用にサインオン・ポリシーを1つ作成し、無条件で二要素認証を要求するルールを定義し該当アプリケーションにポリシー適用を行います。なし (無条件) 2要素認証要求 (Emailパスコード) 条件アクション社外 NW 全員 2要素認証 (Emailパスコード) アプリケーションA ルール1 カスタム Sign-On Policy 【実現イメージ】【サインオンポリシー構成】社内 NW 全員パスワード認証アプリケーションA 適用

個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 60 1）OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。
テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択し、ID/パスワードを入力し OCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。

個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 67 8）サインオン・ルールの作成にて、ルール名に適当な値を入力し、条件部分はデフォルトの状態(無条件)にします。
アクション部分にて「アクセスの許可」、「追加ファクタの要求」をチェックONにし、「任意のファクタ」、頻度「毎回」、登録「必須」をチェックON にし、「サインオン・ルールの追加」をを選択します。

個別アプリケーションに対するサインオン・ポリシーの設定 Copyright © 2022, Oracle and/or its affiliates 73 14）最後に作成したサインオンポリシーがアクティブ化されたことを確認します。
※本手順では無条件で全員に2要素認証要求としたため1つのサインオン・ルールのみ作成しましたが、グループやネットワーク・ペリメータで条件付けする場合にはそれら条件に該当しない場合のサインオン・ルールの設定(優先順位：最下位)が必要になります。

75 2）個別アプリケーションと認証連携しているIdentity Domain(今回は「Prod_IAM_Domain」)のログイン画面が表示され、 ID/パスワードを指定し、サイン・インを選択します。

76 3）2要素認証画面(Emailに送付されたワンタイムパスコード入力画面)が表示されることを確認し、ワンタイムパスコードを指定し、「検証」を選択します。 4）個別アプリケーションにアクセスできたことを確認します。

動作確認 –OCIコンソールアクセス Copyright © 2022, Oracle and/or its affiliates 77
1）社内NWからOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 Identity Domainの選択にて対象ドメイン(今回は「Prod_IAM_Domain」)を選択します。管理者(Defaultアイデンティティ・ドメインのAdministratorsグループ所属ユーザー)のID/パスワードを入力し「サイン・イン」を選択します。

OCI IAM Identity Domains MFAやIPアドレス制御を実現するサインオンポリシー/Identity Domain Sign On Policy

OCI IAM Identity Domains MFAやIPアドレス制御を実現するサインオンポリシー/Identity Domain Sign On Policy

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript