OCI IAM Identity Domains_IPアドレスによるOCIコンソールアクセスの制御 / OCI IAM Identity Domains_Control OCI console access by IP Address

Transcript

1. OCI IAM Identity Domains IPアドレスによるOCIコンソールへのアクセス制御 日本オラクル株式会社 2025/7/1

2. Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright

   © 2025, Oracle and/or its affiliates 2

3. 3 Copyright © 2025, Oracle and/or its affiliates はじめに Identity

   Domainsを持つOCIテナンシにおいて、OCIコンソールへのアクセスをIPアドレスにより制御(アクセス 許可 or 拒否) するためには、Identity Domainsのネットワークペリメータ機能 および サインオンポリシー機能を使い設定を行う必要があります。 本資料では、OCIコンソールアクセスのIPアドレス制御を実現するための下記の設定方法を説明します。 ・OCIコンソール用のMFA強制サインオンポリシー「Security Policy for OCI Console」を活用する方法 ⇒利用シーン(例)：OCIコンソールアクセス時にMFA＋IPアドレス制御の両方を実施したい場合

4. OCIコンソール用のMFA強制サインオンポリシー 「Security Policy for OCI Console」を活用する方法 Copyright © 2025, Oracle

   and/or its affiliates 4

5. 本手順で実現する内容 Copyright © 2025, Oracle and/or its affiliates 5 •

   OCIコンソール用MFA強制化サインオン・ポリシー「Security Policy for OCI Console」の設定内容を活かして、 MFA強制化に加えてIPアドレスによるアクセス制御の設定を追加します。 管理者 社内NWからのアクセス AND Administratorグループ所属 社内NWからのアクセス 社内以外NWからのアクセス 2要素認証要求 (MFA強制) 2要素認証要求 (MFA強制) アクセス拒否 条件 アクション 社 外 NW 社 内 NW 一般ユーザー 全員 2要素認証 (MFA強制) OCIコンソール パスワード認証 ルール：MFA for administrators ルール：MFA for all users ルール：新規 Security Policy for OCI Console 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 アクセス可 アクセス可 アクセス不可 アクセス許可 アクセス許可

6. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

   Oracle and/or its affiliates 6 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定し、MFAを実施し、OCIコンソールにログインします。

7. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

   Oracle and/or its affiliates 7 2) 左上メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。

8. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

   Oracle and/or its affiliates 8 3)ドメイン画面にて、適用済みフィルタ部分にてrootコンパートメントを指定し、アイデンティティ・ドメイン「Default」を選択します。 ※Defaultドメイン以外のアイデンティティ・ドメインに対してもIPアドレス制御を設定する場合には、ここで該当ドメインを選択し後続手順を実施します。

9. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

   Oracle and/or its affiliates 9 4) ネットワーク・ペリメータを登録するため、メニュー「セキュリティ」を選択します。 ネットワーク・ペリメータ部分にて「ネットワーク・ペリメータの作成」を選択します。 ※ネットワークペリメータとは、IPアドレス制御の条件設定で使うIPアドレスを定義するための機能です。

10. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 10 5)ネットワーク・ペリメータの作成画面にて、名前に適当な名前(今回はInternal NW）、 IPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ・1つのIPアドレスを登録（例：10.0.0.1) ・カンマ区切りで複数のIPアドレスを登録（例：10.0.0.1,10.0.0.1,10.1.0.100) ・ハイフンを利用しIPアドレス範囲を登録（例：10.0.0.1-10.0.0.100) ・CIDR表記によるIPアドレス範囲を登録（例：10.0.0.1/16)

11. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 11 6)ネットワーク・ペリメータが作成されたことを確認します。

12. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 12 7) サインオン・ポリシーの設定のため、メニュー「ドメイン・ポリシー」を選択します。 サインオン・ポリシー部分の「Security Policy for OCI Console」がアクティブ化済になっていることを確認し、このポリシーを選択します。

13. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 13 8) Security Policy for OCI Consoleの画面にて、メニュー「サインオン・ルール」を選択します。 サインオン・ルール部分の「MFA for administrators」の編集マークを開き、「サインオン・ルールの編集」を選択します。 確認画面にて「続行」を選択します。

14. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 14 9) サインオン・ルール「MFA for administrators」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します ： チェックONにする ・ネットワーク・ペリメータ ： 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例：Internal NW) 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。

15. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 15 10) 同画面の後段にある「同意」をチェックONにし、理由部分に「MFA Configured in Custom Policy」を選択し、 「サインオン・ルールの編集」を選択します。 ※既にサインオンポリシー「Security Policy for OCI Console」を変更している場合には本手順は必要ありません。

16. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 16 11) 続けてSecurity Policy for OCI Consoleの画面にて、サインオン・ルール「MFA for all users」の編集マークを開き、 「サインオン・ルールの編集」を選択します。 確認画面にて「続行」を選択します。

17. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 17 12) サインオン・ルール「MFA for administrators」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します ： チェックONにする ・ネットワーク・ペリメータ ： 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例：Internal NW) 「サインオン・ルールの編集」を選択します。 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。

18. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 18 13) 続けて、社内NW以外からのアクセスの場合にはアクセス拒否をするための新規ルールを作成するため、 Security Policy for OCI Consoleの画面にて、「サインオン・ルールの追加」選択します。 確認画面で「続行」を選択します。

19. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 19 14) サインオン・ルールの追加画面にて、ルール名に適当な名前(例：Not Internal NW)を指定します。 ”アクション”部分にて下記を設定します。 ・アクセスの拒否 ： チェックONにする 「サインオン・ルールの追加」を選択します。

20. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2025,

    Oracle and/or its affiliates 20 15) Security Policy for OCI Consoleの画面にて、サインオン・ルールの優先度が下記になっていることを確認します。 1．MFA for administrators 2．MFA for all users 3．上記で新規作成したルール（例：Not Internal NW）

21. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 21 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない 状況になる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで 動作確認を行うことを強くお勧めします。

22. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 22 【社内NW＋管理者(Administratorsグループ所属)でOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。

23. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 23 【社内NW＋一般ユーザーでOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。

24. OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2025,

    Oracle and/or its affiliates 24 【社外NWからOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にてユーザーのID/パスワードを指定するとアクセス拒否の画面が表示されOCIコンソールにアクセスできないことを確認します。
25. None