OCI IAM Identity Domains_SSO対象アプリアクセス時のMFA要求・IPアクセス制御 / OCI IAM Identity Domains_MFA and IP Address Access Control for SSO Apps

OCI IAM Identity Domains シングルサインオン対象アプリケーションへのログイン時に 2要素認証(MFA)やIPアドレス制御を利用する～サインオンポリシー設定手順～日本オラクル株式会社 2024/9/2

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 Copyright
© 2024, Oracle and/or its affiliates 2

3 Copyright © 2024, Oracle and/or its affiliates 目次・はじめに：サインオン・ポリシーの概要
・ケース① 全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを必須にする・ケース② 全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う・ケース③ 個別アプリケーションログイン時にMFA＋IPアドレス制御を行う・ケース④ 個別アプリケーションログイン時にグループによるアクセス制御を行う

サインオン・ポリシーアプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能サインオン・ポリシー Copyright © 2024, Oracle and/or its affiliates
5 インターネット社内ネットワークサインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス＋管理者権限ログイン拒否社外からのアクセス二要素認証 Web業務アプリケーション社内からのアクセスパスワード認証サインオン・ルール（例） • サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可 / 拒否 / 再認証の要求 / 多要素認証の要求のいずれかの対応を設定することが可能 • サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 • サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の具体的な条件や条件が当てはまる場合のアクションを指定条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • IDCSの管理者権限の有無アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制条件アクション他社クラウドサービス Oracle PaaS/SaaS

サインオン・ポリシーの種類 Copyright © 2024, Oracle and/or its affiliates 6 •
全てのアプリケーション(OCIコンソールは除く)に適用するためのサインオン・ポリシー「Default Sign-On Policy」を用意 ✓ 「Default Sign-On Policy」の中で細かなサインオン・ルール(条件、アクション)を複数定義可能 • 個別アプリケーションにのみ適用したい場合には別途カスタムサインオン・ポリシーを作成 ✓ 作成したカスタムポリシーの中で細かなサインオン・ルール(条件、アクション)を複数定義可能 • サインオン・ポリシーの中のサインオン・ルールには評価順序の設定が可能（順序順に評価） ※OCIコンソール用のサインオンポリシーは「Security Policy for OCI Console」を使います。全てのアプリケーション(OCIコンソール除く)に適用する場合 Default Sign-On Policy Oracle PaaS/SaaS サインオン・ルール1 サインオン・ルール2 サインオン・ルール3 …. Default Sign-On Policyにルールを自由に定義 ※Default Sign-On Policyは削除できません個別アプリケーションにのみ適用する場合カスタム Sign-On Policy クラウドサービスA サインオン・ルール1 サインオン・ルール2 サインオン・ルール3 …. カスタム・サインオン・ポリシーを作成しルールを自由に定義 ※カスタム・サインオン・ポリシーは削除可能カスタム・サインオン・ポリシーに適用対象アプリケーションを登録 (複数登録可能) 適用対象アプリケーションの登録不要評価順評価順クラウドサービスA アプリケーションA

2要素認証(MFA) サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2024, Oracle and/or its affiliates 7
◆ 管理者は任意の二要素認証の手段を選択して有効化することが可能 ◆ モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能 ◆ 2要素認証で使う機器(例：モバイル端末)が故障・紛失した際に一時的に2要素認証をパスするバイパスコード機能を用意ワンタイムパスコードワンタイムパスコード【MFA要素】通知 FIDO2対応機器メール電話 FIDO ※Oracleオーセンティケータのみ利用可 ※RFC 6238に準拠している Authenticatorを利用可能モバイルオーセンティケータ SMS ワンタイムパスコード ※SMSの数量により別途追加費用が発生チャレンジQA 秘密の質問

サインオン・ルールで使うネットワークペリメータ Copyright © 2024, Oracle and/or its affiliates 8 •
サインオン・ルールで接続元IPアドレスを条件で利用したい場合、利用するIPアドレスを「ネットワーク・ペリメータ」として事前に定義 • 条件に利用するIPアドレスが変更となっても、サインオン・ルールに影響与えずネットワーク・ペリメータのみの変更で対応可能 • ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ✓ 1つのIPアドレスを登録（例：10.0.0.1) ✓ カンマ区切りで複数のIPアドレスを登録（例：10.0.0.1,10.0.0.1,10.1.0.100) ✓ ハイフンを利用しIPアドレス範囲を登録（例：10.0.0.1-10.0.0.100) ✓ CIDR表記によるIPアドレス範囲を登録（例：10.0.0.1/16) Default Sign-On Policy 【サインオン・ルール1】ネットワーク・ペリメータ「社内」の場合 2要素認証

ケース① 全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する ※MFA要素として“モバイルアプリケーション”を利用 Copyright © 2024, Oracle and/or its affiliates
9 他ケースを未実施の前提での手順です。

Copyright © 2024, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 10 •
サインオン・ポリシー「Default Sign-On Policy」に対して条件なしでMFA必須のアクションを定義し、アクセス者全員が全てのアプリケーション(OCIコンソール除く)にログインする際にMFAの適用を行います。社外 NW 全員アプリケーション全体 Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション Default Sign-On Policy 【実現イメージ】【サインオンポリシー構成】社外 NW 全員パスワード認証 2要素認証 (モバイルアプリ利用) なし (無条件) 2要素認証要求 (モバイルアプリ利用) 条件アクションルール1

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 11
1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択にて「Default」を選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

2）メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

3) 「ドメイン」を選択し、対象のIdentity Domainが存在するコンパートメントを選択、対象ドメインをを選択します。

4）2要素認証の要素を有効化するため、Identity Domainの左側メニューより「セキュリティ」ー「MFA」を選択します。ファクタ部分にて「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通知」がチェックONになっていることを確認します。 ※チェックOFFになっている場合には、チェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみではMFA利用は有効になりません。 MFA利用には後続のサインオンポリシーの設定が必要になります。

5）次にサインオン・ポリシーの設定のため、左メニューより「セキュリティ」－「サインオン・ポリシー」を選択します。「Default Sign-On Policy」を選択します。

6）Default Sign-On Policy詳細画面にて、左下のリソース部分の「サインオン・ルール」を選択し、「サインオン・ルールの追加」を選択します。確認画面にて「続行」を選択します。 ※Default Sign-On Policyには「Default Sign-On Rule」というルールがあらかじめ作成されています。この「Default Sign-On Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、「Default Sign-On Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

7）サインオン・ルールの作成にて、ルール名に任意の値を入力し、条件部分はデフォルトの状態(無条件)にします。アクション部分にて下記項目を指定し、「サインオン・ルールの追加」を選択します。・アクセスの許可：チェックON ・追加ファクタの要求：チェックON ・指定されたファクタのみ：チェックON ・モバイル・アプリケーション・パスコード：チェックON ・モバイル・アプリケーション通知：チェックON ・頻度 - セッションごと・・・：チェックON ・登録 – 必須：チェックON

8）サインオンルールが作成されたことを確認し、作成したルールの評価順序を定義するために「優先度の編集」を選択します。確認画面にて「続行」を選択します。

9）優先度の編集画面にて、上記で作成したサインオン・ルールの上下マークを操作し優先度1に設定します。「変更の保存」を選択します。

10）最後に優先度が設定した通りになっていることを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況になる可能性があります。そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認を行うことを強くお勧めします。

動作確認 Copyright © 2024, Oracle and/or its affiliates 21 前提：対象Identity
Domainにおいてシングルサインオン対象アプリケーションの設定が完了している 1）モバイル(iPhone/Android)にモバイルオーセンティケータ(例：Oracle Mobile Authenticator）をインストールしておきます。 2）対象Identity Domainのシングルサインオン対象になっているアプリケーションにアクセスします。 3）Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。

動作確認 Copyright © 2024, Oracle and/or its affiliates 22 4）2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。
「セキュアな検証の有効化」を選択します。 ※本画面は、2要素認証を設定していないユーザーがログインした際に表示される画面です。

動作確認 Copyright © 2024, Oracle and/or its affiliates 23 5）モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。
モバイルアプリケーション側で登録が完了すると画面が先に進みます。 Oracle Mobile Authenticator以外のモバイルオーセンティケータを利用する場合には、ここをチェックONにし新たに表示されたQRコードを読み取ります。

動作確認 Copyright © 2024, Oracle and/or its affiliates 24 6）正常登録されたメッセージが表示されたことを確認し、「完了」を選択します。
7）シングルサインオン対象アプリケーションにアクセスできたことを確認します。

動作確認 Copyright © 2024, Oracle and/or its affiliates 25 8）次からのログイン時にはID/パスワードを入力後にモバイルアプリケーションによるMFA要求画面が表示されます。
モバイルアプリケーションのイメージ例)Oracle Mobile Authenticatorを利用した場合

動作確認 Copyright © 2024, Oracle and/or its affiliates 26 補足）Oracle
Mobile Authenticatorのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。「モバイル・アプリ・・・・によって生成されるパスコードを使用」を選択します。モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。

ケース② 全てのアプリケーション(OCIコンソールを除く)ログイン時に MFA＋IPアドレス制御を行う ※MFA要素として“モバイルアプリケーション”を利用 Copyright © 2024, Oracle and/or its
affiliates 27 他ケースを未実施の前提での手順です。

サインオン・ポリシー「Default Sign-On Policy」に対してネットワークペリメータを用いた条件や二要素認証のアクションを定義し全てのアプリケーション(OCIコンソール除く) へのポリシー適用を行います。社内NWからのアクセス社外NW(社内NW以外)からのアクセスアクセス許可 2要素認証要求 (Emailパスコード) 条件アクション社外 NW 全員 2要素認証 (Emailパスコード) アプリケーション全体 Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーションルール1 ルール2 Default Sign-On Policy 【実現イメージ】【サインオンポリシー構成】社内 NW 全員パスワード認証

5）次に、ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。「ネットワーク・ペリメータの作成」を選択します。

6）ネットワーク・ペリメータの作成画面にて、社内NWを登録します。名前に適当な名前(今回は社内NWと分かるような名前)とIPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。ネットワーク・ペリメータが登録されたことを確認します。

7）次にサインオン・ポリシーの設定のため、左メニューより「セキュリティ」－「サインオン・ポリシー」を選択します。「Default Sign-On Policy」を選択します。

8）Default Sign-On Policy詳細画面にて、左下のリソース部分の「サインオン・ルール」を選択し、「サインオン・ルールの追加」を選択します。確認画面にて「続行」を選択します。 ※Default Sign-On Policyには「Default Sign-On Rule」というルールがあらかじめ作成されています。この「Default Sign-On Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、「Default Sign-On Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

9）サインオン・ルールの作成にて、ルール名に社内NW用ルールと分かるような任意の値を入力し、条件部分に下記を設定します。・クライアントIPアドレスでフィルタ ⇒ 「次のネットワーク・ペリメータに制限します。」チェックON ・ネットワーク・ペリメータ ⇒ 上記にて登録した社内NW用ネットワークペリメータを選択

10）アクション部分では「アクセスの許可」のみにチェックを入れ、「サインオン・ルールの追加」を選択します。

11）サインオンルールが作成されたことを確認し、続けて社外NW用ルールを作成するために「サインオン・ルールの追加」を選択します。確認画面にて「続行」を選択します。

12）サインオン・ルールの作成にて、ルール名に社外NW(社内NW以外)用ルールと分かるような任意の値を入力します。条件部分には何も指定せず（デフォルトのまま）、アクション部分にて下記を設定し、「サインオン・ルールの追加」を選択します。・アクセスの許可：チェックON ・追加ファクタの要求：チェックON ・指定されたファクタのみ：チェックON ・モバイル・アプリケーション・パスコード：チェックON ・モバイル・アプリケーション通知：チェックON ・頻度 - セッションごと・・・：チェックON ・登録 – 必須：チェックON

13）サインオンルールが作成されたことを確認し、作成したルールの評価順序を定義するために「優先度の編集」を選択します。確認画面にて「続行」を選択します。

14）優先度の編集画面にて、サインオン・ルールの上下マークを操作し下記の順序になるようにし、「変更の保存」を選択します。優先度1：社内NW用ルール（Internal NW Rule）優先度2：社外NW(社内NW以外)用ルール（External NW Rule）優先度3：Default Sign-On Rule

15）最後に優先度が設定した通りになっていることを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況になる可能性があります。そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認を行うことを強くお勧めします。

動作確認社内NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 44
前提：対象Identity Domainにおいてシングルサインオン対象アプリケーションの設定が完了している 1）社内NWから対象Identity Domainのシングルサインオン対象になっているアプリケーションにアクセスします。 2）Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。 3）MFA要求なしに該当アプリケーションでアクセスできたことを確認します。サインオンルール「社内ＮＷ用ルール(Internal NW Rule)が適用されたことになります。

動作確認社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 45
前提：対象Identity Domainにおいてシングルサインオン対象アプリケーションの設定が完了している 1）モバイル(iPhone/Android)にモバイルオーセンティケータ(例：Oracle Mobile Authenticator）をインストールしておきます。 2）社外NWから対象Identity Domainのシングルサインオン対象になっているアプリケーションにアクセスします。 3）Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。

4）2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。「セキュアな検証の有効化」を選択します。 ※本画面は、2要素認証を設定していないユーザーがログインした際に表示される画面です。サインオンルール「社外ＮＷ用ルール(External NW Rule)が適用されたことになります。

5）モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。モバイルアプリケーション側で登録が完了すると画面が先に進みます。 Oracle Mobile Authenticator以外のモバイルオーセンティケータを利用する場合には、ここをチェックONにし新たに表示されたQRコードを読み取ります。

6）正常登録されたメッセージが表示されたことを確認し、「完了」を選択します。 7）シングルサインオン対象アプリケーションにアクセスできたことを確認します。

8）次からのログイン時にはID/パスワードを入力後にモバイルアプリケーションによるMFA要求画面が表示されます。モバイルアプリケーションのイメージ例)Oracle Mobile Authenticatorを利用した場合

補足）Oracle Mobile Authenticatorのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。「モバイル・アプリ・・・・によって生成されるパスコードを使用」を選択します。モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。

ケース③ 個別アプリケーションログイン時にMFA＋IPアドレス制御を行う ※MFA要素として“モバイルアプリケーション”を利用 Copyright © 2024, Oracle and/or its affiliates
51 他ケースを未実施の前提での手順です。

個別アプリケーション用のカスタムサインオン・ポリシーを作成し、ルールとしてネットワークペリメータを用いた条件や二要素認証のアクションを定義し個別アプリケーションへのポリシー適用を行います。社内NWからのアクセス社外NW(社内NW以外)からのアクセスアクセス許可 2要素認証要求 (Emailパスコード) 条件アクション社外 NW 全員 2要素認証 (Emailパスコード) 個別アプリケーションA ルール1 ルール2 カスタムSign-On Policy 【実現イメージ】【サインオンポリシー構成】社内 NW 全員パスワード認証

5）次に、ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。「ネットワーク・ペリメータの作成」を選択します。

6）ネットワーク・ペリメータの作成画面にて、社内NWを登録します。名前に適当な名前(今回は社内NWと分かるような名前)とIPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。ネットワーク・ペリメータが登録されたことを確認します。

7）次にサインオン・ポリシーの設定のため、左メニューより「セキュリティ」－「サインオン・ポリシー」を選択します。「サインオン・ポリシーの作成」を選択します。

8）アプリケーションの作成画面にて、名前や説明に任意の値（個別アプリケーション用と分かるような値）を指定し、「ポリシーの追加」を選択します。

9）サインオン・ルールの追加画面にて、社内NW用ルールを作成するため「サインオン・ルールの作成」を選択します。

10）サインオン・ルールの追加画面にて、ルール名に社内NW用ルールと分かるような任意の値を入力し、条件部分に下記を設定します。・クライアントIPアドレスでフィルタ ⇒ 「次のネットワーク・ペリメータに制限します。」チェックON ・ネットワーク・ペリメータ ⇒ 上記にて登録した社内NW用ネットワークペリメータを選択

11）アクション部分では「アクセスの許可」のみにチェックを入れ、「サインオン・ルールの追加」を選択します。

12）サインオンルールが作成されたことを確認し、続けて社外NW(社内NW以外)用ルールを作成するために「サインオン・ルールの追加」を選択します。

13）サインオン・ルールの作成にて、ルール名に社外NW(社内NW以外)用ルールと分かるような任意の値を入力します。条件部分には何も指定せず（デフォルトのまま）、アクション部分にて下記を設定し、「サインオン・ルールの追加」を選択します。・アクセスの許可：チェックON ・追加ファクタの要求：チェックON ・指定されたファクタのみ：チェックON ・モバイル・アプリケーション・パスコード：チェックON ・モバイル・アプリケーション通知：チェックON ・頻度 - セッションごと・・・：チェックON ・登録 – 必須：チェックON

14）サインオンルールが作成されたことを確認し、作成したルールの評価順序が下記のようになっていることを確認し、「次」を選択します。優先度1：社内NW用ルール（Internal NW Rule）優先度2：社外NW(社内NW以外)用ルール（External NW Rule） ※優先度が上記になっていない場合には「優先度の編集」を選択し、表示された画面にて優先度を変更します。

15）アプリケーションの追加画面にて「アプリケーションの追加」を選択します。表示されたアプリケーション選択画面にて、本ポリシーを適用したいアプリケーションにチェックを入れ、「アプリケーションの追加」を選択します。 ※本ポリシーを複数アプリケーションに適用したい場合には、ここで対象のアプリケーションをすべて選択します。

16）アプリケーションが追加されたことを確認し、「閉じる」を選択します。

17）作成した個別アプリケーション用サインポリシーを有効化するため「サインオン・ポリシーのアクティブ化」を選択します。確認画面でも「サインオン・ポリシーのアクティブ化」を選択します。

18）作成した個別アプリケーション用サインオンポリシーがアクティブ化されたことを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況になる可能性があります。そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認を行うことを強くお勧めします。

動作確認社内NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 71
1）社内NWから個別アプリケーションにアクセスします。 2）Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。 3）MFA要求なしに該当アプリケーションでアクセスできたことを確認します。サインオンルール「社内ＮＷ用ルール(Internal NW Rule)が適用されたことになります。

1）モバイル(iPhone/Android)にモバイルオーセンティケータ(例：Oracle Mobile Authenticator）をインストールしておきます。 2）社外NWから個別アプリケーションにアクセスします。 3）Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。

4）2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。「セキュアな検証の有効化」を選択します。 ※本画面は、2要素認証を設定していないユーザーがログインした際に表示される画面です。サインオンルール「社外ＮＷ用ルール(External NW Rule)が適用されたことになります。

5）モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。モバイルアプリケーション側で登録が完了すると画面が先に進みます。 Oracle Mobile Authenticator以外のモバイルオーセンティケータを利用する場合には、ここをチェックONにし新たに表示されたQRコードを読み取ります。

6）正常登録されたメッセージが表示されたことを確認し、「完了」を選択します。 7）シングルサインオン対象アプリケーションにアクセスできたことを確認します。

8）次からのログイン時にはID/パスワードを入力後にモバイルアプリケーションによるMFA要求画面が表示されます。モバイルアプリケーションのイメージ例)Oracle Mobile Authenticatorを利用した場合

補足）Oracle Mobile Authenticatorのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。「モバイル・アプリ・・・・によって生成されるパスコードを使用」を選択します。モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。

個別アプリケーション用のカスタムサインオン・ポリシーを作成し、グループを用いた条件を定義し、個別アプリケーションへポリシー適用を行います。グループ「正社員」に所属ユーザーグループ「正社員」に所属していないユーザーアクセス許可アクセス拒否条件アクション個別アプリケーションルール1 ルール2 カスタム Sign-On Policy 【実現イメージ】【サインオンポリシー構成】グループ「正社員」に所属ユーザーパスワード認証社外 NW 社内 NW 社外 NW 社内 NW グループ「正社員」に所属してないユーザー

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 80 1)
OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択にて「Default」を選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 89 10）サインオン・ルールの追加画面にて、ルール名に正社員グループ所属用ルールと分かるような任意の値を入力し、
条件部分に下記を設定します。・グループ・メンバーシップ部分にて「追加」を選択し、上記にて作成した正社員用グループ(例：正社員グループ)を選択します。

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 92 13）サインオン・ルールの作成にて、ルール名に正社員グループ以外のルールと分かるような任意の値を入力します。
条件部分には何も指定せず（デフォルトのまま）、アクション部分にて「アクセスの拒否」をチェックONにします。「サインオン・ルールの追加」を選択します。

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 93 14）サインオンルールが作成されたことを確認し、作成したルールの評価順序が下記のようになっていることを確認し、「次」を選択します。
優先度1：正社員グループ用ルール（Full-Time Emp Rule）優先度2：正社員グループ以外用ルール（Non Full-Time Emp Rule） ※優先度が上記になっていない場合には「優先度の編集」を選択し、表示された画面にて優先度を変更します。

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 94 15）アプリケーションの追加画面にて「アプリケーションの追加」を選択します。
表示されたアプリケーション選択画面にて、本ポリシーを適用したいアプリケーションにチェックを入れ、「アプリケーションの追加」を選択します。 ※本ポリシーを複数アプリケーションに適用したい場合には、ここで対象のアプリケーションをすべて選択します。

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 97 18）作成した個別アプリケーション用サインオンポリシーがアクティブ化されたことを確認します。
※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況になる可能性があります。そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認を行うことを強くお勧めします。

動作確認「正社員用グループ」に所属しているユーザーによるアクセス Copyright © 2024, Oracle and/or its affiliates 98
1）個別アプリケーションにアクセスします。 2）Identity Domainログイン画面にて、正社員用グループに所属しているユーザーID/パスワードを指定し、「サイン・イン」を選択します。 3）該当アプリケーションでアクセスできたことを確認します。サインオンルール「正社員グループ用ルール(Full-Time Emp Rule) が適用されたことになります。

1）個別アプリケーションにアクセスします。 2）Identity Domainログイン画面にて、正社員用グループに所属していないユーザーID/パスワードを指定し、「サイン・イン」を選択します。 3）サインオンポリシーによりアクセスが拒否された画面が表示され、該当アプリケーションでアクセスできないことを確認します。動作確認「正社員用グループ」に所属していないユーザーによるアクセス Copyright
© 2024, Oracle and/or its affiliates 99 サインオンルール「正社員グループ用ルール(Non Full-Time Emp Rule) が適用されたことになります。

OCI IAM Identity Domains_SSO対象アプリアクセス時のMFA要求・IP...

OCI IAM Identity Domains_SSO対象アプリアクセス時のMFA要求・IPアクセス制御 / OCI IAM Identity Domains_MFA and IP Address Access Control for SSO Apps

More Decks by oracle4engineer

Other Decks in Technology

Featured

Transcript