Slide 1

Slide 1 text

OCI IAM Identity Domains シングルサインオン対象アプリケーションへのログイン時に 2要素認証(MFA)やIPアドレス制御を利用する ~サインオンポリシー設定手順~ 日本オラクル株式会社 2024/9/2

Slide 2

Slide 2 text

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、 情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以 下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買 決定を行う際の判断材料になさらないで下さい。 オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊 社の裁量により決定され、変更される可能性があります。 Copyright © 2024, Oracle and/or its affiliates 2

Slide 3

Slide 3 text

3 Copyright © 2024, Oracle and/or its affiliates 目次 ・はじめに:サインオン・ポリシーの概要 ・ケース① 全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを必須にする ・ケース② 全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う ・ケース③ 個別アプリケーションログイン時にMFA+IPアドレス制御を行う ・ケース④ 個別アプリケーションログイン時にグループによるアクセス制御を行う

Slide 4

Slide 4 text

はじめに:サインオン・ポリシーの概要 Copyright © 2024, Oracle and/or its affiliates 4

Slide 5

Slide 5 text

サインオン・ポリシー アプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能 サインオン・ポリシー Copyright © 2024, Oracle and/or its affiliates 5 インターネット 社内 ネットワーク サインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス + 管理者権限 ログイン拒否 社外からのアクセス 二要素認証 Web業務アプリケーション 社内からのアクセス パスワード認証 サインオン・ルール(例) • サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可 / 拒否 / 再認証の要求 / 多要素認証の要求 のいずれかの対応を設定することが可能 • サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 • サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の具体的な条件や条件が当てはまる場合のアクションを指定 条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • IDCSの管理者権限の有無 アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制 条件 アクション 他社クラウドサービス Oracle PaaS/SaaS

Slide 6

Slide 6 text

サインオン・ポリシーの種類 Copyright © 2024, Oracle and/or its affiliates 6 • 全てのアプリケーション(OCIコンソールは除く)に適用するためのサインオン・ポリシー「Default Sign-On Policy」を用意 ✓ 「Default Sign-On Policy」の中で細かなサインオン・ルール(条件、アクション)を複数定義可能 • 個別アプリケーションにのみ適用したい場合には別途カスタムサインオン・ポリシーを作成 ✓ 作成したカスタムポリシーの中で細かなサインオン・ルール(条件、アクション)を複数定義可能 • サインオン・ポリシーの中のサインオン・ルールには評価順序の設定が可能(順序順に評価) ※OCIコンソール用のサインオンポリシーは「Security Policy for OCI Console」を使います。 全てのアプリケーション(OCIコンソール除く)に適用する場合 Default Sign-On Policy Oracle PaaS/SaaS サインオン・ルール1 サインオン・ルール2 サインオン・ルール3 …. Default Sign-On Policyに ルールを自由に定義 ※Default Sign-On Policyは削除できません 個別アプリケーションにのみ適用する場合 カスタム Sign-On Policy クラウドサービスA サインオン・ルール1 サインオン・ルール2 サインオン・ルール3 …. カスタム・サインオン・ポリシーを作成し ルールを自由に定義 ※カスタム・サインオン・ポリシーは削除可能 カスタム・サインオン・ポリシーに 適用対象アプリケーションを登録 (複数登録可能) 適用対象アプリケーションの 登録不要 評価順 評価順 クラウドサービスA アプリケーションA

Slide 7

Slide 7 text

2要素認証(MFA) サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2024, Oracle and/or its affiliates 7 ◆ 管理者は任意の二要素認証の手段を選択して有効化することが可能 ◆ モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能 ◆ 2要素認証で使う機器(例:モバイル端末)が故障・紛失した際に一時的に2要素認証をパスするバイパスコード機能を用意 ワンタイムパスコード ワンタイムパスコード 【MFA要素】 通知 FIDO2対応機器 メール 電話 FIDO ※Oracleオーセンティケータ のみ利用可 ※RFC 6238に準拠している Authenticatorを利用可能 モバイル オーセンティケータ SMS ワンタイムパスコード ※SMSの数量により 別途追加費用が発生 チャレンジQA 秘密の質問

Slide 8

Slide 8 text

サインオン・ルールで使うネットワークペリメータ Copyright © 2024, Oracle and/or its affiliates 8 • サインオン・ルールで接続元IPアドレスを条件で利用したい場合、利用するIPアドレスを「ネットワーク・ペリメータ」として事前に定義 • 条件に利用するIPアドレスが変更となっても、サインオン・ルールに影響与えずネットワーク・ペリメータのみの変更で対応可能 • ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ✓ 1つのIPアドレスを登録(例:10.0.0.1) ✓ カンマ区切りで複数のIPアドレスを登録(例:10.0.0.1,10.0.0.1,10.1.0.100) ✓ ハイフンを利用しIPアドレス範囲を登録(例:10.0.0.1-10.0.0.100) ✓ CIDR表記によるIPアドレス範囲を登録(例:10.0.0.1/16) Default Sign-On Policy 【サインオン・ルール1】 ネットワーク・ペリメータ「社内」の場合 2要素認証

Slide 9

Slide 9 text

ケース① 全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する ※MFA要素として“モバイルアプリケーション”を利用 Copyright © 2024, Oracle and/or its affiliates 9 他ケースを未実施の前提での手順です。

Slide 10

Slide 10 text

Copyright © 2024, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 10 • サインオン・ポリシー「Default Sign-On Policy」に対して条件なしでMFA必須のアクションを定義し、 アクセス者全員が全てのアプリケーション(OCIコンソール除く)にログインする際にMFAの適用を行います。 社 外 NW 全員 アプリケーション全体 Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション Default Sign-On Policy 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 社 外 NW 全員 パスワード認証 2要素認証 (モバイルアプリ利用) なし (無条件) 2要素認証要求 (モバイルアプリ利用) 条件 アクション ルール1

Slide 11

Slide 11 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 11 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて「Default」を選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

Slide 12

Slide 12 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 12 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

Slide 13

Slide 13 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 13 3) 「ドメイン」を選択し、対象のIdentity Domainが存在するコンパートメントを選択、対象ドメインをを選択します。

Slide 14

Slide 14 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 14 4)2要素認証の要素を有効化するため、Identity Domainの左側メニューより「セキュリティ」ー「MFA」を選択します。 ファクタ部分にて「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通知」がチェックONになっていることを確認します。 ※チェックOFFになっている場合には、チェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみではMFA利用は有効になりません。 MFA利用には後続のサインオンポリシーの設定が必要になります。

Slide 15

Slide 15 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 15 5)次にサインオン・ポリシーの設定のため、左メニューより「セキュリティ」-「サインオン・ポリシー」を選択します。 「Default Sign-On Policy」を選択します。

Slide 16

Slide 16 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 16 6)Default Sign-On Policy詳細画面にて、左下のリソース部分の「サインオン・ルール」を選択し、 「サインオン・ルールの追加」を選択します。 確認画面にて「続行」を選択します。 ※Default Sign-On Policyには「Default Sign-On Rule」というルールがあらかじめ作成されています。 この「Default Sign-On Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、 「Default Sign-On Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Slide 17

Slide 17 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 17 7)サインオン・ルールの作成にて、ルール名に任意の値を入力し、条件部分はデフォルトの状態(無条件)にします。 アクション部分にて下記項目を指定し、「サインオン・ルールの追加」を選択します。 ・アクセスの許可:チェックON ・追加ファクタの要求:チェックON ・指定されたファクタのみ:チェックON ・モバイル・アプリケーション・パスコード:チェックON ・モバイル・アプリケーション通知:チェックON ・頻度 - セッションごと・・・:チェックON ・登録 – 必須:チェックON

Slide 18

Slide 18 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 18 8)サインオンルールが作成されたことを確認し、作成したルールの評価順序を定義するために「優先度の編集」を選択します。 確認画面にて「続行」を選択します。

Slide 19

Slide 19 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 19 9)優先度の編集画面にて、上記で作成したサインオン・ルールの上下マークを操作し優先度1に設定します。 「変更の保存」を選択します。

Slide 20

Slide 20 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 20 10)最後に優先度が設定した通りになっていることを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況に なる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認 を行うことを強くお勧めします。

Slide 21

Slide 21 text

動作確認 Copyright © 2024, Oracle and/or its affiliates 21 前提:対象Identity Domainにおいてシングルサインオン対象アプリケーションの設定が完了している 1)モバイル(iPhone/Android)にモバイルオーセンティケータ(例:Oracle Mobile Authenticator)をインストールしておきます。 2)対象Identity Domainのシングルサインオン対象になっているアプリケーションにアクセスします。 3)Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。

Slide 22

Slide 22 text

動作確認 Copyright © 2024, Oracle and/or its affiliates 22 4)2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。 「セキュアな検証の有効化」を選択します。 ※本画面は、2要素認証を設定していないユーザーがログインした際に表示される画面です。

Slide 23

Slide 23 text

動作確認 Copyright © 2024, Oracle and/or its affiliates 23 5)モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。 モバイルアプリケーション側で登録が完了すると画面が先に進みます。 Oracle Mobile Authenticator以外のモバイルオーセ ンティケータを利用する場合には、ここをチェックONにし 新たに表示されたQRコードを読み取ります。

Slide 24

Slide 24 text

動作確認 Copyright © 2024, Oracle and/or its affiliates 24 6)正常登録されたメッセージが表示されたことを確認し、「完了」を選択します。 7)シングルサインオン対象アプリケーションにアクセスできたことを確認します。

Slide 25

Slide 25 text

動作確認 Copyright © 2024, Oracle and/or its affiliates 25 8)次からのログイン時にはID/パスワードを入力後にモバイルアプリケーションによるMFA要求画面が表示されます。 モバイルアプリケーションのイメージ 例)Oracle Mobile Authenticatorを利用した場合

Slide 26

Slide 26 text

動作確認 Copyright © 2024, Oracle and/or its affiliates 26 補足)Oracle Mobile Authenticatorのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。 「モバイル・アプリ ・・・・によって生成されるパスコードを使用」を選択します。 モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。

Slide 27

Slide 27 text

ケース② 全てのアプリケーション(OCIコンソールを除く)ログイン時に MFA+IPアドレス制御を行う ※MFA要素として“モバイルアプリケーション”を利用 Copyright © 2024, Oracle and/or its affiliates 27 他ケースを未実施の前提での手順です。

Slide 28

Slide 28 text

Copyright © 2024, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 28 • サインオン・ポリシー「Default Sign-On Policy」に対してネットワークペリメータを用いた条件や二要素認証のアクションを定義し 全てのアプリケーション(OCIコンソール除く) へのポリシー適用を行います。 社内NWからのアクセス 社外NW(社内NW以外)からのアクセス アクセス許可 2要素認証要求 (Emailパスコード) 条件 アクション 社 外 NW 全員 2要素認証 (Emailパスコード) アプリケーション全体 Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション ルール1 ルール2 Default Sign-On Policy 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 社 内 NW 全員 パスワード認証

Slide 29

Slide 29 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 29 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて「Default」を選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

Slide 30

Slide 30 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 30 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

Slide 31

Slide 31 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 31 3) 「ドメイン」を選択し、対象のIdentity Domainが存在するコンパートメントを選択、対象ドメインをを選択します。

Slide 32

Slide 32 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 32 4)2要素認証の要素を有効化するため、Identity Domainの左側メニューより「セキュリティ」ー「MFA」を選択します。 ファクタ部分にて「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通知」がチェックONになっていることを確認します。 ※チェックOFFになっている場合には、チェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみではMFA利用は有効になりません。 MFA利用には後続のサインオンポリシーの設定が必要になります。

Slide 33

Slide 33 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 33 5)次に、ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。 「ネットワーク・ペリメータの作成」を選択します。

Slide 34

Slide 34 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 34 6)ネットワーク・ペリメータの作成画面にて、社内NWを登録します。 名前に適当な名前(今回は社内NWと分かるような名前)とIPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータが登録されたことを確認します。

Slide 35

Slide 35 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 35 7)次にサインオン・ポリシーの設定のため、左メニューより「セキュリティ」-「サインオン・ポリシー」を選択します。 「Default Sign-On Policy」を選択します。

Slide 36

Slide 36 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 36 8)Default Sign-On Policy詳細画面にて、左下のリソース部分の「サインオン・ルール」を選択し、 「サインオン・ルールの追加」を選択します。 確認画面にて「続行」を選択します。 ※Default Sign-On Policyには「Default Sign-On Rule」というルールがあらかじめ作成されています。 この「Default Sign-On Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、 「Default Sign-On Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Slide 37

Slide 37 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 37 9)サインオン・ルールの作成にて、ルール名に社内NW用ルールと分かるような任意の値を入力し、 条件部分に下記を設定します。 ・クライアントIPアドレスでフィルタ ⇒ 「次のネットワーク・ペリメータに制限します。」 チェックON ・ネットワーク・ペリメータ ⇒ 上記にて登録した社内NW用ネットワークペリメータを選択

Slide 38

Slide 38 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 38 10)アクション部分では「アクセスの許可」のみにチェックを入れ、「サインオン・ルールの追加」を選択します。

Slide 39

Slide 39 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 39 11)サインオンルールが作成されたことを確認し、続けて社外NW用ルールを作成するために「サインオン・ルールの追加」を選択します。 確認画面にて「続行」を選択します。

Slide 40

Slide 40 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 40 12)サインオン・ルールの作成にて、ルール名に社外NW(社内NW以外)用ルールと分かるような任意の値を入力します。 条件部分には何も指定せず(デフォルトのまま)、アクション部分にて下記を設定し、「サインオン・ルールの追加」を選択します。 ・アクセスの許可:チェックON ・追加ファクタの要求:チェックON ・指定されたファクタのみ:チェックON ・モバイル・アプリケーション・パスコード:チェックON ・モバイル・アプリケーション通知:チェックON ・頻度 - セッションごと・・・:チェックON ・登録 – 必須:チェックON

Slide 41

Slide 41 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 41 13)サインオンルールが作成されたことを確認し、作成したルールの評価順序を定義するために「優先度の編集」を選択します。 確認画面にて「続行」を選択します。

Slide 42

Slide 42 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 42 14)優先度の編集画面にて、サインオン・ルールの上下マークを操作し下記の順序になるようにし、「変更の保存」を選択します。 優先度1:社内NW用ルール(Internal NW Rule) 優先度2:社外NW(社内NW以外)用ルール(External NW Rule) 優先度3:Default Sign-On Rule

Slide 43

Slide 43 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 43 15)最後に優先度が設定した通りになっていることを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況に なる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認 を行うことを強くお勧めします。

Slide 44

Slide 44 text

動作確認 社内NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 44 前提:対象Identity Domainにおいてシングルサインオン対象アプリケーションの設定が完了している 1)社内NWから対象Identity Domainのシングルサインオン対象になっているアプリケーションにアクセスします。 2)Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。 3)MFA要求なしに該当アプリケーションでアクセスできたことを確認します。 サインオンルール「社内NW用ルール(Internal NW Rule)が 適用されたことになります。

Slide 45

Slide 45 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 45 前提:対象Identity Domainにおいてシングルサインオン対象アプリケーションの設定が完了している 1)モバイル(iPhone/Android)にモバイルオーセンティケータ(例:Oracle Mobile Authenticator)をインストールしておきます。 2)社外NWから対象Identity Domainのシングルサインオン対象になっているアプリケーションにアクセスします。 3)Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。

Slide 46

Slide 46 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 46 4)2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。 「セキュアな検証の有効化」を選択します。 ※本画面は、2要素認証を設定していないユーザーがログインした際に表示される画面です。 サインオンルール「社外NW用ルール(External NW Rule)が 適用されたことになります。

Slide 47

Slide 47 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 47 5)モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。 モバイルアプリケーション側で登録が完了すると画面が先に進みます。 Oracle Mobile Authenticator以外のモバイルオーセ ンティケータを利用する場合には、ここをチェックONにし 新たに表示されたQRコードを読み取ります。

Slide 48

Slide 48 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 48 6)正常登録されたメッセージが表示されたことを確認し、「完了」を選択します。 7)シングルサインオン対象アプリケーションにアクセスできたことを確認します。

Slide 49

Slide 49 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 49 8)次からのログイン時にはID/パスワードを入力後にモバイルアプリケーションによるMFA要求画面が表示されます。 モバイルアプリケーションのイメージ 例)Oracle Mobile Authenticatorを利用した場合

Slide 50

Slide 50 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 50 補足)Oracle Mobile Authenticatorのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。 「モバイル・アプリ ・・・・によって生成されるパスコードを使用」を選択します。 モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。

Slide 51

Slide 51 text

ケース③ 個別アプリケーションログイン時にMFA+IPアドレス制御を行う ※MFA要素として“モバイルアプリケーション”を利用 Copyright © 2024, Oracle and/or its affiliates 51 他ケースを未実施の前提での手順です。

Slide 52

Slide 52 text

Copyright © 2024, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 52 • 個別アプリケーション用のカスタムサインオン・ポリシーを作成し、ルールとしてネットワークペリメータを用いた条件や二要素認証のアクションを 定義し個別アプリケーションへのポリシー適用を行います。 社内NWからのアクセス 社外NW(社内NW以外)からのアクセス アクセス許可 2要素認証要求 (Emailパスコード) 条件 アクション 社 外 NW 全員 2要素認証 (Emailパスコード) 個別アプリケーションA ルール1 ルール2 カスタムSign-On Policy 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 社 内 NW 全員 パスワード認証

Slide 53

Slide 53 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 53 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて「Default」を選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

Slide 54

Slide 54 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 54 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

Slide 55

Slide 55 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 55 3) 「ドメイン」を選択し、対象のIdentity Domainが存在するコンパートメントを選択、対象ドメインをを選択します。

Slide 56

Slide 56 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 56 4)2要素認証の要素を有効化するため、Identity Domainの左側メニューより「セキュリティ」ー「MFA」を選択します。 ファクタ部分にて「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通知」がチェックONになっていることを確認します。 ※チェックOFFになっている場合には、チェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみではMFA利用は有効になりません。 MFA利用には後続のサインオンポリシーの設定が必要になります。

Slide 57

Slide 57 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 57 5)次に、ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。 「ネットワーク・ペリメータの作成」を選択します。

Slide 58

Slide 58 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 58 6)ネットワーク・ペリメータの作成画面にて、社内NWを登録します。 名前に適当な名前(今回は社内NWと分かるような名前)とIPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。 ネットワーク・ペリメータが登録されたことを確認します。

Slide 59

Slide 59 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 59 7)次にサインオン・ポリシーの設定のため、左メニューより「セキュリティ」-「サインオン・ポリシー」を選択します。 「サインオン・ポリシーの作成」を選択します。

Slide 60

Slide 60 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 60 8)アプリケーションの作成画面にて、名前や説明に任意の値(個別アプリケーション用と分かるような値)を指定し、 「ポリシーの追加」を選択します。

Slide 61

Slide 61 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 61 9)サインオン・ルールの追加画面にて、社内NW用ルールを作成するため「サインオン・ルールの作成」を選択します。

Slide 62

Slide 62 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 62 10)サインオン・ルールの追加画面にて、ルール名に社内NW用ルールと分かるような任意の値を入力し、 条件部分に下記を設定します。 ・クライアントIPアドレスでフィルタ ⇒ 「次のネットワーク・ペリメータに制限します。」 チェックON ・ネットワーク・ペリメータ ⇒ 上記にて登録した社内NW用ネットワークペリメータを選択

Slide 63

Slide 63 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 63 11)アクション部分では「アクセスの許可」のみにチェックを入れ、「サインオン・ルールの追加」を選択します。

Slide 64

Slide 64 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 64 12)サインオンルールが作成されたことを確認し、続けて社外NW(社内NW以外)用ルールを作成するために 「サインオン・ルールの追加」を選択します。

Slide 65

Slide 65 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 65 13)サインオン・ルールの作成にて、ルール名に社外NW(社内NW以外)用ルールと分かるような任意の値を入力します。 条件部分には何も指定せず(デフォルトのまま)、アクション部分にて下記を設定し、「サインオン・ルールの追加」を選択します。 ・アクセスの許可:チェックON ・追加ファクタの要求:チェックON ・指定されたファクタのみ:チェックON ・モバイル・アプリケーション・パスコード:チェックON ・モバイル・アプリケーション通知:チェックON ・頻度 - セッションごと・・・:チェックON ・登録 – 必須:チェックON

Slide 66

Slide 66 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 66 14)サインオンルールが作成されたことを確認し、作成したルールの評価順序が下記のようになっていることを確認し、「次」を選択します。 優先度1:社内NW用ルール(Internal NW Rule) 優先度2:社外NW(社内NW以外)用ルール(External NW Rule) ※優先度が上記になっていない場合には「優先度の編集」を選択し、表示された画面にて優先度を変更します。

Slide 67

Slide 67 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 67 15)アプリケーションの追加画面にて「アプリケーションの追加」を選択します。 表示されたアプリケーション選択画面にて、本ポリシーを適用したいアプリケーションにチェックを入れ、「アプリケーションの追加」を選択します。 ※本ポリシーを複数アプリケーションに適用したい場合には、 ここで対象のアプリケーションをすべて選択します。

Slide 68

Slide 68 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 68 16)アプリケーションが追加されたことを確認し、「閉じる」を選択します。

Slide 69

Slide 69 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 69 17)作成した個別アプリケーション用サインポリシーを有効化するため「サインオン・ポリシーのアクティブ化」を選択します。 確認画面でも「サインオン・ポリシーのアクティブ化」を選択します。

Slide 70

Slide 70 text

個別アプリケーションログイン時にMFA+IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 70 18)作成した個別アプリケーション用サインオンポリシーがアクティブ化されたことを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況に なる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認 を行うことを強くお勧めします。

Slide 71

Slide 71 text

動作確認 社内NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 71 1)社内NWから個別アプリケーションにアクセスします。 2)Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。 3)MFA要求なしに該当アプリケーションでアクセスできたことを確認します。 サインオンルール「社内NW用ルール(Internal NW Rule)が 適用されたことになります。

Slide 72

Slide 72 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 72 1)モバイル(iPhone/Android)にモバイルオーセンティケータ(例:Oracle Mobile Authenticator)をインストールしておきます。 2)社外NWから個別アプリケーションにアクセスします。 3)Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。

Slide 73

Slide 73 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 73 4)2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。 「セキュアな検証の有効化」を選択します。 ※本画面は、2要素認証を設定していないユーザーがログインした際に表示される画面です。 サインオンルール「社外NW用ルール(External NW Rule)が 適用されたことになります。

Slide 74

Slide 74 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 74 5)モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。 モバイルアプリケーション側で登録が完了すると画面が先に進みます。 Oracle Mobile Authenticator以外のモバイルオーセ ンティケータを利用する場合には、ここをチェックONにし 新たに表示されたQRコードを読み取ります。

Slide 75

Slide 75 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 75 6)正常登録されたメッセージが表示されたことを確認し、「完了」を選択します。 7)シングルサインオン対象アプリケーションにアクセスできたことを確認します。

Slide 76

Slide 76 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 76 8)次からのログイン時にはID/パスワードを入力後にモバイルアプリケーションによるMFA要求画面が表示されます。 モバイルアプリケーションのイメージ 例)Oracle Mobile Authenticatorを利用した場合

Slide 77

Slide 77 text

動作確認 社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 77 補足)Oracle Mobile Authenticatorのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。 「モバイル・アプリ ・・・・によって生成されるパスコードを使用」を選択します。 モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。

Slide 78

Slide 78 text

ケース④ 個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 78 他ケースを未実施の前提での手順です。

Slide 79

Slide 79 text

Copyright © 2024, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 79 • 個別アプリケーション用のカスタムサインオン・ポリシーを作成し、グループを用いた条件を定義し、個別アプリケーションへポリシー適用を 行います。 グループ「正社員」に所属ユーザー グループ「正社員」に所属していないユーザー アクセス許可 アクセス拒否 条件 アクション 個別アプリケーション ルール1 ルール2 カスタム Sign-On Policy 【 実 現 イ メ ー ジ 】 【 サ イ ン オ ン ポ リ シ ー 構 成 】 グループ「正社員」 に所属ユーザー パスワード認証 社 外 NW 社 内 NW 社 外 NW 社 内 NW グループ「正社員」 に所属してないユーザー

Slide 80

Slide 80 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 80 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。 テナント名(クラウド・アカウント名)を入力し「Next」を選択します。 アイデンティティ・ドメインの選択にて「Default」を選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

Slide 81

Slide 81 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 81 2)メニューより「アイデンティティとセキュリティ」ー「アイデンティティ」を選択します。

Slide 82

Slide 82 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 82 3) 「ドメイン」を選択し、対象のIdentity Domainが存在するコンパートメントを選択、対象ドメインをを選択します。

Slide 83

Slide 83 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 83 4)アクセス制御に使うグループを作成するため、Identity Domainの左側メニューより「グループ」を選択します。 「グループの作成」を選択します。

Slide 84

Slide 84 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 84 5)グループの作成画面にて、グループ名と説明に任意の値(正社員用グループと分かるような値 例)正社員グループ)を指定し、 このグループに所属させるユーザー(複数可)を選択し、「作成」を選択します。

Slide 85

Slide 85 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 85 6)グループが作成されたこと確認します。 左上メニューリンクより、「グループ」を選択します。

Slide 86

Slide 86 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 86 7)次にサインオン・ポリシーの設定のため、左メニューより「セキュリティ」-「サインオン・ポリシー」を選択します。 「サインオン・ポリシーの作成」を選択します。

Slide 87

Slide 87 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 87 8)アプリケーションの作成画面にて、名前や説明に任意の値(個別アプリケーション用と分かるような値)を指定し、 「ポリシーの追加」を選択します。

Slide 88

Slide 88 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 88 9)サインオン・ルールの追加画面にて、正社員グループ所属用ルールを作成するため「サインオン・ルールの作成」を選択します。

Slide 89

Slide 89 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 89 10)サインオン・ルールの追加画面にて、ルール名に正社員グループ所属用ルールと分かるような任意の値を入力し、 条件部分に下記を設定します。 ・グループ・メンバーシップ部分にて「追加」を選択し、上記にて作成した正社員用グループ(例:正社員グループ)を選択します。

Slide 90

Slide 90 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 90 11)アクション部分では「アクセスの許可」のみにチェックを入れ、「サインオン・ルールの追加」を選択します。

Slide 91

Slide 91 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 91 12)サインオンルールが作成されたことを確認し、続けて正社員グループ以外用ルールを作成するために 「サインオン・ルールの追加」を選択します。

Slide 92

Slide 92 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 92 13)サインオン・ルールの作成にて、ルール名に正社員グループ以外のルールと分かるような任意の値を入力します。 条件部分には何も指定せず(デフォルトのまま)、アクション部分にて「アクセスの拒否」をチェックONにします。 「サインオン・ルールの追加」を選択します。

Slide 93

Slide 93 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 93 14)サインオンルールが作成されたことを確認し、作成したルールの評価順序が下記のようになっていることを確認し、「次」を選択します。 優先度1:正社員グループ用ルール(Full-Time Emp Rule) 優先度2:正社員グループ以外用ルール(Non Full-Time Emp Rule) ※優先度が上記になっていない場合には「優先度の編集」を選択し、表示された画面にて優先度を変更します。

Slide 94

Slide 94 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 94 15)アプリケーションの追加画面にて「アプリケーションの追加」を選択します。 表示されたアプリケーション選択画面にて、本ポリシーを適用したいアプリケーションにチェックを入れ、「アプリケーションの追加」を選択します。 ※本ポリシーを複数アプリケーションに適用したい場合には、 ここで対象のアプリケーションをすべて選択します。

Slide 95

Slide 95 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 95 16)アプリケーションが追加されたことを確認し、「閉じる」を選択します。

Slide 96

Slide 96 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 96 17)作成した個別アプリケーション用サインポリシーを有効化するため「サインオン・ポリシーのアクティブ化」を選択します。 確認画面でも「サインオン・ポリシーのアクティブ化」を選択します。

Slide 97

Slide 97 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 97 18)作成した個別アプリケーション用サインオンポリシーがアクティブ化されたことを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況に なる可能性があります。 そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認 を行うことを強くお勧めします。

Slide 98

Slide 98 text

動作確認 「正社員用グループ」に所属しているユーザーによるアクセス Copyright © 2024, Oracle and/or its affiliates 98 1)個別アプリケーションにアクセスします。 2)Identity Domainログイン画面にて、正社員用グループに所属しているユーザーID/パスワードを指定し、「サイン・イン」を選択します。 3)該当アプリケーションでアクセスできたことを確認します。 サインオンルール「正社員グループ用ルール(Full-Time Emp Rule) が適用されたことになります。

Slide 99

Slide 99 text

1)個別アプリケーションにアクセスします。 2)Identity Domainログイン画面にて、 正社員用グループに所属していないユーザーID/パスワードを指定し、 「サイン・イン」を選択します。 3)サインオンポリシーによりアクセスが拒否された画面が表示され、 該当アプリケーションでアクセスできないことを確認します。 動作確認 「正社員用グループ」に所属していないユーザーによるアクセス Copyright © 2024, Oracle and/or its affiliates 99 サインオンルール「正社員グループ用ルール(Non Full-Time Emp Rule) が適用されたことになります。

Slide 100

Slide 100 text

No content