Slide 1

Slide 1 text

OCI IAM Identity Domains IPアドレスによるOCIコンソールへのアクセス制御 日本オラクル株式会社 2024/1/10

Slide 2

Slide 2 text

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright © 2024, Oracle and/or its affiliates 2

Slide 3

Slide 3 text

3 Copyright © 2024, Oracle and/or its affiliates はじめに Identity Domainsを持つOCIテナンシにおいて、OCIコンソールへのアクセスをIPアドレスにより制御(アクセス 許可 or 拒否) するためには、Identity Domainsのネットワークペリメータ機能 および サインオンポリシー機能を使い設定を行う必要があります。 本資料では、OCIコンソールアクセスのIPアドレス制御を実現するための2種類の設定方法を説明します。 ・ケース1:OCIコンソール用のMFA強制サインオンポリシー「Security Policy for OCI Console」を活用する方法 ⇒利用シーン(例):OCIコンソールアクセス時にMFA+IPアドレス制御の両方を実施したい場合 ・ケース2:Defaultサインオンポリシーを活用する方法 (OCIコンソール用のMFA強制ポリシーは使わない方法) ⇒利用シーン(例):OCIコンソールアクセス時にIPアドレス制御のみを実施したい場合

Slide 4

Slide 4 text

ケース1: OCIコンソール用のMFA強制サインオンポリシー 「Security Policy for OCI Console」を活用する方法 Copyright © 2024, Oracle and/or its affiliates 4

Slide 5

Slide 5 text

本手順で実現する内容 Copyright © 2024, Oracle and/or its affiliates 5 • OCIコンソール用MFA強制化サインオン・ポリシー「Security Policy for OCI Console」の設定内容を活かして、 MFA強制化に加えてIPアドレスによるアクセス制御の設定を追加します。 管理者 社内NWからのアクセス AND Administratorグループ所属 社内NWからのアクセス 社内以外NWからのアクセス 2要素認証要求 (MFA強制) 2要素認証要求 (MFA強制) アクセス拒否 条件 アクション 社 外 NW 社 内 NW 一般ユーザー 全員 2要素認証 (MFA強制) OCIコンソール パスワード認証 ルール:MFA for administrators ルール:MFA for all users ルール:新規 Security Policy for OCI Console 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 アクセス可 アクセス可 アクセス不可 アクセス許可 アクセス許可

Slide 6

Slide 6 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 6 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定し、MFAを実施し、OCIコンソールにログインします。

Slide 7

Slide 7 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 7 2) 左上メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。

Slide 8

Slide 8 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 8 3)ドメイン画面にてrootコンパートメントを指定し、アイデンティティ・ドメイン「Default」を選択します。 ※Defaultドメイン以外のアイデンティティ・ドメインに対してもIPアドレス制御を設定する場合には、ここで該当ドメインを選択し後続手順を実施します。

Slide 9

Slide 9 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 9 4)ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。 「ネットワーク・ペリメータの作成」を選択します。 ※ネットワークペリメータとは、IPアドレス制御の条件設定で使うIPアドレスを定義するための機能です。

Slide 10

Slide 10 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 10 5)ネットワーク・ペリメータの作成画面にて、名前に適当な名前(今回はInternal NW)、 IPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ・1つのIPアドレスを登録(例:10.0.0.1) ・カンマ区切りで複数のIPアドレスを登録(例:10.0.0.1,10.0.0.1,10.1.0.100) ・ハイフンを利用しIPアドレス範囲を登録(例:10.0.0.1-10.0.0.100) ・CIDR表記によるIPアドレス範囲を登録(例:10.0.0.1/16)

Slide 11

Slide 11 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 11 6)サインオン・ポリシーの設定のため、左メニューより「セキュリティ」-「サインオン・ポリシー」を選択します。 「Security Policy for OCI Console」がアクティブ化済になっていることを確認し、このポリシーを選択します。 ※ 「Security Policy for OCI Console」が非アクティブになっている場合には、 より「アクティブ化」を選択しアクティブ化します。 ・ ・ ・

Slide 12

Slide 12 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 12 7) Security Policy for OCI Consoleの詳細画面にて、画面下部のサインオン・ルール「MFA for administrators」の編集マークを 開き、「サインオン・ルールの編集」を選択します。

Slide 13

Slide 13 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 13 8) サインオン・ルール「MFA for administrators」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します : チェックONにする ・ネットワーク・ペリメータ : 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例:Internal NW) 「変更の保存」を選択します。 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。

Slide 14

Slide 14 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 14 9) Security Policy for OCI Consoleの詳細画面にて、画面下部のサインオン・ルール「MFA for all users」の編集マークを 開き、「サインオン・ルールの編集」を選択します。

Slide 15

Slide 15 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 15 10) サインオン・ルール「MFA for all users」の編集画面にて、”クライアントIPアドレスでフィルタ”部分にて下記を設定します。 ・次のネットワーク・ペリメータに制限します : チェックONにする ・ネットワーク・ペリメータ : 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例:Internal NW) 「変更の保存」を選択します。 本手順ではデフォルトのMFA設定を そのままの状態に保つ内容になってます。 必要に応じてMFA要素の追加等を実施 してください。

Slide 16

Slide 16 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 16 11) 続けて、社内NW以外からのアクセスの場合にはアクセス拒否をするための新規ルールを作成するため、 Security Policy for OCI Consoleの詳細画面にて、画面下部のサインオン・ルールにて「サインオン・ルールの追加」選択します。

Slide 17

Slide 17 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 17 12) サインオン・ルールの追加画面にて、ルール名に適当な名前(例:Not Internal NW)を指定します。 ”アクション”部分にて下記を設定します。 ・アクセスの拒否 : チェックONにする 「サインオン・ルールの追加」を選択します。

Slide 18

Slide 18 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 18 13) Security Policy for OCI Consoleの詳細画面にて、画面下部のサインオン・ルールにて各ルールが下記の優先度になっていることを 確認します。 1.MFA for administrators 2.MFA for all users 3.上記で新規作成したルール(例:Not Internal NW)

Slide 19

Slide 19 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2024, Oracle and/or its affiliates 19 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない 状況になる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで 動作確認を行うことを強くお勧めします。

Slide 20

Slide 20 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2024, Oracle and/or its affiliates 20 【社内NW+管理者(Administratorsグループ所属)でOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。

Slide 21

Slide 21 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2024, Oracle and/or its affiliates 21 【社内NW+一般ユーザーでOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとMFAを求められることを確認します。 MFA実施後、OCIコンソールにアクセスできることを確認します。

Slide 22

Slide 22 text

OCIコンソール用MFA強制サインオンポリシー「Security Policy for OCI Console」を 活用したIPアドレス制御 ~確認 Copyright © 2024, Oracle and/or its affiliates 22 【社外NWからOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にてユーザーのID/パスワードを指定するとアクセス拒否の画面が表示されOCIコンソールにアクセスできないことを確認します。

Slide 23

Slide 23 text

ケース2: Defaultサインオンポリシーを活用する方法 (OCIコンソール用のMFA強制ポリシーは使わない方法) Copyright © 2024, Oracle and/or its affiliates 23 ※MFAを利用しない際のセキュリティ上の懸念等を精査・理解した上で実施をお願いします。

Slide 24

Slide 24 text

本手順で実現する内容 Copyright © 2024, Oracle and/or its affiliates 24 • OCIコンソール用MFA強制化サインオン・ポリシー「Security Policy for OCI Console」の設定内容を活かして、 MFA強制化に加えてIPアドレスによるアクセス制御の設定を追加します。 社内NWからのアクセス 社内以外NWからのアクセス アクセス許可 アクセス拒否 条件 アクション 社 外 NW 全員 OCIコンソール ルール:新規ルール1 ルール:新規ルール2 Default Sign-On Policy 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 アクセス不可 社 内 NW 全員 パスワード認証 アクセス可

Slide 25

Slide 25 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 25 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定し、MFAを実施し、OCIコンソールにログインします。

Slide 26

Slide 26 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 26 2) 左上メニューより「アイデンティティとセキュリティ」ー「ドメイン」を選択します。

Slide 27

Slide 27 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 27 3)ドメイン画面にてrootコンパートメントを指定し、アイデンティティ・ドメイン「Default」を選択します。 ※Defaultドメイン以外のアイデンティティ・ドメインに対してもIPアドレス制御を設定する場合には、ここで該当ドメインを選択し後続手順を実施します。

Slide 28

Slide 28 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 28 4)ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。 「ネットワーク・ペリメータの作成」を選択します。 ※ネットワークペリメータとは、IPアドレス制御の条件設定で使うIPアドレスを定義するための機能です。

Slide 29

Slide 29 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 29 5)ネットワーク・ペリメータの作成画面にて、名前に適当な名前(今回はInternal NW)、 IPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ・1つのIPアドレスを登録(例:10.0.0.1) ・カンマ区切りで複数のIPアドレスを登録(例:10.0.0.1,10.0.0.1,10.1.0.100) ・ハイフンを利用しIPアドレス範囲を登録(例:10.0.0.1-10.0.0.100) ・CIDR表記によるIPアドレス範囲を登録(例:10.0.0.1/16)

Slide 30

Slide 30 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 30 6)MFA強制化ポリシーを無効化するため、左メニューより「セキュリティ」-「サインオン・ポリシー」を選択します。 「Security Policy for OCI Console」の編集マークより「サインオン・ポリシーの非アクティブ化」を選択します。 確認画面でも「サインオン・ポリシーの非アクティブ化」を選択し、非アクティブ化されたことを確認します。 ※ 本手順にて「Security Policy for OCI Console」を非アクティブ化しないと OCIコンソールアクセス時のポリシーとしてDefault Sign-On Policyが 使われません。 ※ 本手順にて「Security Policy for OCI Console」を非アクティブ化する際、 MFAを利用しないセキュリティ上の懸念等を精査・理解した上で実施をお願い します。

Slide 31

Slide 31 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 31 7)Default Sign-On PolicyへIP制御の設定を追加するため、「Default Sign-On Policy」を選択します。

Slide 32

Slide 32 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 32 8) Default Sing-On Policyの詳細画面にて、画面下部のサインオン・ルールの「サインオン・ルールの追加」を選択します。

Slide 33

Slide 33 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 33 9) サインオン・ルールの追加画面にて、ルール名に適当な名前(例:Internal NW)を指定します。 ・次のネットワーク・ペリメータに制限します : チェックONにする ・ネットワーク・ペリメータ : 上記にて定義した社内NWを示すネットワーク・ペリメータを選択(例:Internal NW) 「サインオン・ルールの追加」を選択します。 サインオンルール作成の際にMFAの設定を 追加することも可能です。

Slide 34

Slide 34 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 34 10) サインオン・ルールが作成されたことを確認します。 続けて、 「サインオン・ルールの追加」を選択します

Slide 35

Slide 35 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 35 11) サインオン・ルールの追加画面にて、ルール名に適当な名前(例:Not Internal NW)を指定します。 ”アクション”部分にて下記を設定します。 ・アクセスの拒否 : チェックONにする 「サインオン・ルールの追加」を選択します。

Slide 36

Slide 36 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 36 12) サインオン・ルールが作成されたことを確認します。 「優先度の編集」を選択します

Slide 37

Slide 37 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 37 13) 優先度の編集画面にて、下記の順序になるように変更し、「変更の保存」を選択します。 1.Internal NW ※上記9)で作成したルール 2.Not Internal NW ※上記11)で作成したルール 3.Default Singn-On Rule

Slide 38

Slide 38 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~設定手順 Copyright © 2024, Oracle and/or its affiliates 38 14) サインオン・ルールの順序が変更されたことを確認します。

Slide 39

Slide 39 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~確認 Copyright © 2024, Oracle and/or its affiliates 39 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない 状況になる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで 動作確認を行うことを強くお勧めします。

Slide 40

Slide 40 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~確認 Copyright © 2024, Oracle and/or its affiliates 40 【社内NWOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にて管理者ユーザーのID/パスワードを指定するとOCIコンソールにアクセスできることを確認します。 OCIコンソール

Slide 41

Slide 41 text

Defaultサインオンポリシーを活用したIPアドレス制御 ~確認 Copyright © 2024, Oracle and/or its affiliates 41 【社外NWからOCIコンソールへアクセスした場合】 OCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスし、テナント名(クラウド・アカウント名)を 入力し「Next」を選択します。 ドメイン選択画面にて”Default”を選択します。 ログイン画面にてユーザーのID/パスワードを指定するとアクセス拒否の画面が表示されOCIコンソールにアクセスできないことを確認します。

Slide 42

Slide 42 text

No content