OCI IAM Identity Domains_SSO対象アプリアクセス時のMFA要求・IPアクセス制御 / OCI IAM Identity Domains_MFA and IP Address Access Control for SSO Apps

Slide 1

Slide 1 text

OCI IAM Identity Domains シングルサインオン対象アプリケーションへのログイン時に 2要素認証(MFA)やIPアドレス制御を利用する～サインオンポリシー設定手順～日本オラクル株式会社 2024/9/2

Slide 2

Slide 2 text

Safe harbor statement 以下の事項は、弊社の一般的な製品の方向性に関する概要を説明するものです。また、情報提供を唯一の目的とするものであり、いかなる契約にも組み込むことはできません。以下の事項は、マテリアルやコード、機能を提供することを確約するものではないため、購買決定を行う際の判断材料になさらないで下さい。オラクル製品に関して記載されている機能の開発、リリース、時期及び価格については、弊社の裁量により決定され、変更される可能性があります。 Copyright © 2024, Oracle and/or its affiliates 2

Slide 3

Slide 3 text

3 Copyright © 2024, Oracle and/or its affiliates 目次・はじめに：サインオン・ポリシーの概要・ケース① 全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを必須にする・ケース② 全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う・ケース③ 個別アプリケーションログイン時にMFA＋IPアドレス制御を行う・ケース④ 個別アプリケーションログイン時にグループによるアクセス制御を行う

Slide 4

Slide 4 text

Slide 5

Slide 5 text

サインオン・ポリシーアプリケーションへの認証強化・アクセス制御のルールを定義するサインオン・ポリシー機能サインオン・ポリシー Copyright © 2024, Oracle and/or its affiliates 5 インターネット社内ネットワークサインオン・ポリシー 1 サインオン・ポリシー 2 サインオン・ポリシー 3 サインオン・ポリシー 4 社外からのアクセス＋管理者権限ログイン拒否社外からのアクセス二要素認証 Web業務アプリケーション社内からのアクセスパスワード認証サインオン・ルール（例） • サインオン・ポリシーにより、ログインが完了したユーザーへの認可処理として許可 / 拒否 / 再認証の要求 / 多要素認証の要求のいずれかの対応を設定することが可能 • サインオン・ポリシーはアプリケーション個別または全体(すべてのアプリケーション)に適用することが可能 • サインオン・ポリシーの要素であるサインオン・ルールにより、ルール適用の具体的な条件や条件が当てはまる場合のアクションを指定条件 • リスクスコアの値 • 端末のIPアドレス(ネットワーク・ペリメータ) • 所属グループ • IDCSの管理者権限の有無アクション • アクセス許可 • アクセス拒否 • 再認証の強制 • 二要素認証の強制条件アクション他社クラウドサービス Oracle PaaS/SaaS

Slide 6

Slide 6 text

サインオン・ポリシーの種類 Copyright © 2024, Oracle and/or its affiliates 6 • 全てのアプリケーション(OCIコンソールは除く)に適用するためのサインオン・ポリシー「Default Sign-On Policy」を用意 ✓ 「Default Sign-On Policy」の中で細かなサインオン・ルール(条件、アクション)を複数定義可能 • 個別アプリケーションにのみ適用したい場合には別途カスタムサインオン・ポリシーを作成 ✓ 作成したカスタムポリシーの中で細かなサインオン・ルール(条件、アクション)を複数定義可能 • サインオン・ポリシーの中のサインオン・ルールには評価順序の設定が可能（順序順に評価） ※OCIコンソール用のサインオンポリシーは「Security Policy for OCI Console」を使います。全てのアプリケーション(OCIコンソール除く)に適用する場合 Default Sign-On Policy Oracle PaaS/SaaS サインオン・ルール1 サインオン・ルール2 サインオン・ルール3 …. Default Sign-On Policyにルールを自由に定義 ※Default Sign-On Policyは削除できません個別アプリケーションにのみ適用する場合カスタム Sign-On Policy クラウドサービスA サインオン・ルール1 サインオン・ルール2 サインオン・ルール3 …. カスタム・サインオン・ポリシーを作成しルールを自由に定義 ※カスタム・サインオン・ポリシーは削除可能カスタム・サインオン・ポリシーに適用対象アプリケーションを登録 (複数登録可能) 適用対象アプリケーションの登録不要評価順評価順クラウドサービスA アプリケーションA

Slide 7

Slide 7 text

2要素認証(MFA) サインオンポリシーで指定可能な複数の認証手段を提供 Copyright © 2024, Oracle and/or its affiliates 7 ◆ 管理者は任意の二要素認証の手段を選択して有効化することが可能 ◆ モバイルアプリケーション:Oracle Mobile AuthenticatorはApp StoreやGoogle Playから入手が可能 ◆ 2要素認証で使う機器(例：モバイル端末)が故障・紛失した際に一時的に2要素認証をパスするバイパスコード機能を用意ワンタイムパスコードワンタイムパスコード【MFA要素】通知 FIDO2対応機器メール電話 FIDO ※Oracleオーセンティケータのみ利用可 ※RFC 6238に準拠している Authenticatorを利用可能モバイルオーセンティケータ SMS ワンタイムパスコード ※SMSの数量により別途追加費用が発生チャレンジQA 秘密の質問

Slide 8

Slide 8 text

サインオン・ルールで使うネットワークペリメータ Copyright © 2024, Oracle and/or its affiliates 8 • サインオン・ルールで接続元IPアドレスを条件で利用したい場合、利用するIPアドレスを「ネットワーク・ペリメータ」として事前に定義 • 条件に利用するIPアドレスが変更となっても、サインオン・ルールに影響与えずネットワーク・ペリメータのみの変更で対応可能 • ネットワーク・ペリメータではいくつかの方法でIPアドレスを登録可能 ✓ 1つのIPアドレスを登録（例：10.0.0.1) ✓ カンマ区切りで複数のIPアドレスを登録（例：10.0.0.1,10.0.0.1,10.1.0.100) ✓ ハイフンを利用しIPアドレス範囲を登録（例：10.0.0.1-10.0.0.100) ✓ CIDR表記によるIPアドレス範囲を登録（例：10.0.0.1/16) Default Sign-On Policy 【サインオン・ルール1】ネットワーク・ペリメータ「社内」の場合 2要素認証

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Copyright © 2024, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 10 • サインオン・ポリシー「Default Sign-On Policy」に対して条件なしでMFA必須のアクションを定義し、アクセス者全員が全てのアプリケーション(OCIコンソール除く)にログインする際にMFAの適用を行います。社外 NW 全員アプリケーション全体 Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーション Default Sign-On Policy 【実現イメージ】【サインオンポリシー構成】社外 NW 全員パスワード認証 2要素認証 (モバイルアプリ利用) なし (無条件) 2要素認証要求 (モバイルアプリ利用) 条件アクションルール1

Slide 11

Slide 11 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 11 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択にて「Default」を選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

Slide 12

Slide 12 text

Slide 13

Slide 13 text

Slide 14

Slide 14 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 14 4）2要素認証の要素を有効化するため、Identity Domainの左側メニューより「セキュリティ」ー「MFA」を選択します。ファクタ部分にて「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通知」がチェックONになっていることを確認します。 ※チェックOFFになっている場合には、チェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみではMFA利用は有効になりません。 MFA利用には後続のサインオンポリシーの設定が必要になります。

Slide 15

Slide 15 text

Slide 16

Slide 16 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 16 6）Default Sign-On Policy詳細画面にて、左下のリソース部分の「サインオン・ルール」を選択し、「サインオン・ルールの追加」を選択します。確認画面にて「続行」を選択します。 ※Default Sign-On Policyには「Default Sign-On Rule」というルールがあらかじめ作成されています。この「Default Sign-On Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、「Default Sign-On Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Slide 17

Slide 17 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 17 7）サインオン・ルールの作成にて、ルール名に任意の値を入力し、条件部分はデフォルトの状態(無条件)にします。アクション部分にて下記項目を指定し、「サインオン・ルールの追加」を選択します。・アクセスの許可：チェックON ・追加ファクタの要求：チェックON ・指定されたファクタのみ：チェックON ・モバイル・アプリケーション・パスコード：チェックON ・モバイル・アプリケーション通知：チェックON ・頻度 - セッションごと・・・：チェックON ・登録 – 必須：チェックON

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFAを利用する (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 20 10）最後に優先度が設定した通りになっていることを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況になる可能性があります。そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認を行うことを強くお勧めします。

Slide 21

Slide 21 text

動作確認 Copyright © 2024, Oracle and/or its affiliates 21 前提：対象Identity Domainにおいてシングルサインオン対象アプリケーションの設定が完了している 1）モバイル(iPhone/Android)にモバイルオーセンティケータ(例：Oracle Mobile Authenticator）をインストールしておきます。 2）対象Identity Domainのシングルサインオン対象になっているアプリケーションにアクセスします。 3）Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。

Slide 22

Slide 22 text

Slide 23

Slide 23 text

動作確認 Copyright © 2024, Oracle and/or its affiliates 23 5）モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。モバイルアプリケーション側で登録が完了すると画面が先に進みます。 Oracle Mobile Authenticator以外のモバイルオーセンティケータを利用する場合には、ここをチェックONにし新たに表示されたQRコードを読み取ります。

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

動作確認 Copyright © 2024, Oracle and/or its affiliates 26 補足）Oracle Mobile Authenticatorのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。「モバイル・アプリ・・・・によって生成されるパスコードを使用」を選択します。モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。

Slide 27

Slide 27 text

Slide 28

Slide 28 text

Copyright © 2024, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 28 • サインオン・ポリシー「Default Sign-On Policy」に対してネットワークペリメータを用いた条件や二要素認証のアクションを定義し全てのアプリケーション(OCIコンソール除く) へのポリシー適用を行います。社内NWからのアクセス社外NW(社内NW以外)からのアクセスアクセス許可 2要素認証要求 (Emailパスコード) 条件アクション社外 NW 全員 2要素認証 (Emailパスコード) アプリケーション全体 Oracle PaaS/SaaS 他社クラウドサービス On-P Webアプリケーションルール1 ルール2 Default Sign-On Policy 【実現イメージ】【サインオンポリシー構成】社内 NW 全員パスワード認証

Slide 29

Slide 29 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 29 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択にて「Default」を選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

Slide 30

Slide 30 text

Slide 31

Slide 31 text

Slide 32

Slide 32 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 32 4）2要素認証の要素を有効化するため、Identity Domainの左側メニューより「セキュリティ」ー「MFA」を選択します。ファクタ部分にて「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通知」がチェックONになっていることを確認します。 ※チェックOFFになっている場合には、チェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみではMFA利用は有効になりません。 MFA利用には後続のサインオンポリシーの設定が必要になります。

Slide 33

Slide 33 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 33 5）次に、ネットワーク・ペリメータを登録するため、左側メニューより「セキュリティ」ー「ネットワーク・ペリメータ」を選択します。「ネットワーク・ペリメータの作成」を選択します。

Slide 34

Slide 34 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 34 6）ネットワーク・ペリメータの作成画面にて、社内NWを登録します。名前に適当な名前(今回は社内NWと分かるような名前)とIPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。ネットワーク・ペリメータが登録されたことを確認します。

Slide 35

Slide 35 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 35 7）次にサインオン・ポリシーの設定のため、左メニューより「セキュリティ」－「サインオン・ポリシー」を選択します。「Default Sign-On Policy」を選択します。

Slide 36

Slide 36 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 36 8）Default Sign-On Policy詳細画面にて、左下のリソース部分の「サインオン・ルール」を選択し、「サインオン・ルールの追加」を選択します。確認画面にて「続行」を選択します。 ※Default Sign-On Policyには「Default Sign-On Rule」というルールがあらかじめ作成されています。この「Default Sign-On Rule」を直接編集することも可能ですが、運用の中でデフォルトの状態に戻す場合などを想定し、「Default Sign-On Rule」は編集せずにデフォルトの状態のままにしておくことをお勧めします。

Slide 37

Slide 37 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 37 9）サインオン・ルールの作成にて、ルール名に社内NW用ルールと分かるような任意の値を入力し、条件部分に下記を設定します。・クライアントIPアドレスでフィルタ ⇒ 「次のネットワーク・ペリメータに制限します。」チェックON ・ネットワーク・ペリメータ ⇒ 上記にて登録した社内NW用ネットワークペリメータを選択

Slide 38

Slide 38 text

Slide 39

Slide 39 text

Slide 40

Slide 40 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 40 12）サインオン・ルールの作成にて、ルール名に社外NW(社内NW以外)用ルールと分かるような任意の値を入力します。条件部分には何も指定せず（デフォルトのまま）、アクション部分にて下記を設定し、「サインオン・ルールの追加」を選択します。・アクセスの許可：チェックON ・追加ファクタの要求：チェックON ・指定されたファクタのみ：チェックON ・モバイル・アプリケーション・パスコード：チェックON ・モバイル・アプリケーション通知：チェックON ・頻度 - セッションごと・・・：チェックON ・登録 – 必須：チェックON

Slide 41

Slide 41 text

Slide 42

Slide 42 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 42 14）優先度の編集画面にて、サインオン・ルールの上下マークを操作し下記の順序になるようにし、「変更の保存」を選択します。優先度1：社内NW用ルール（Internal NW Rule）優先度2：社外NW(社内NW以外)用ルール（External NW Rule）優先度3：Default Sign-On Rule

Slide 43

Slide 43 text

全てのアプリケーション(OCIコンソールを除く)ログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 43 15）最後に優先度が設定した通りになっていることを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況になる可能性があります。そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認を行うことを強くお勧めします。

Slide 44

Slide 44 text

動作確認社内NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 44 前提：対象Identity Domainにおいてシングルサインオン対象アプリケーションの設定が完了している 1）社内NWから対象Identity Domainのシングルサインオン対象になっているアプリケーションにアクセスします。 2）Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。 3）MFA要求なしに該当アプリケーションでアクセスできたことを確認します。サインオンルール「社内ＮＷ用ルール(Internal NW Rule)が適用されたことになります。

Slide 45

Slide 45 text

動作確認社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 45 前提：対象Identity Domainにおいてシングルサインオン対象アプリケーションの設定が完了している 1）モバイル(iPhone/Android)にモバイルオーセンティケータ(例：Oracle Mobile Authenticator）をインストールしておきます。 2）社外NWから対象Identity Domainのシングルサインオン対象になっているアプリケーションにアクセスします。 3）Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。

Slide 46

Slide 46 text

動作確認社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 46 4）2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。「セキュアな検証の有効化」を選択します。 ※本画面は、2要素認証を設定していないユーザーがログインした際に表示される画面です。サインオンルール「社外ＮＷ用ルール(External NW Rule)が適用されたことになります。

Slide 47

Slide 47 text

動作確認社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 47 5）モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。モバイルアプリケーション側で登録が完了すると画面が先に進みます。 Oracle Mobile Authenticator以外のモバイルオーセンティケータを利用する場合には、ここをチェックONにし新たに表示されたQRコードを読み取ります。

Slide 48

Slide 48 text

Slide 49

Slide 49 text

Slide 50

Slide 50 text

動作確認社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 50 補足）Oracle Mobile Authenticatorのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。「モバイル・アプリ・・・・によって生成されるパスコードを使用」を選択します。モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。

Slide 51

Slide 51 text

Slide 52

Slide 52 text

Copyright © 2024, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 52 • 個別アプリケーション用のカスタムサインオン・ポリシーを作成し、ルールとしてネットワークペリメータを用いた条件や二要素認証のアクションを定義し個別アプリケーションへのポリシー適用を行います。社内NWからのアクセス社外NW(社内NW以外)からのアクセスアクセス許可 2要素認証要求 (Emailパスコード) 条件アクション社外 NW 全員 2要素認証 (Emailパスコード) 個別アプリケーションA ルール1 ルール2 カスタムSign-On Policy 【実現イメージ】【サインオンポリシー構成】社内 NW 全員パスワード認証

Slide 53

Slide 53 text

個別アプリケーションログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 53 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択にて「Default」を選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

Slide 54

Slide 54 text

Slide 55

Slide 55 text

Slide 56

Slide 56 text

個別アプリケーションログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 56 4）2要素認証の要素を有効化するため、Identity Domainの左側メニューより「セキュリティ」ー「MFA」を選択します。ファクタ部分にて「モバイル・アプリケーション・パスコード」と「モバイル・アプリケーション通知」がチェックONになっていることを確認します。 ※チェックOFFになっている場合には、チェックONにし、「変更の保存」を選択します。 ※2要素認証の要素を有効化したのみではMFA利用は有効になりません。 MFA利用には後続のサインオンポリシーの設定が必要になります。

Slide 57

Slide 57 text

Slide 58

Slide 58 text

個別アプリケーションログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 58 6）ネットワーク・ペリメータの作成画面にて、社内NWを登録します。名前に適当な名前(今回は社内NWと分かるような名前)とIPアドレスに社内NWのIPアドレスの範囲を指定し、「作成」を選択します。ネットワーク・ペリメータが登録されたことを確認します。

Slide 59

Slide 59 text

Slide 60

Slide 60 text

Slide 61

Slide 61 text

Slide 62

Slide 62 text

個別アプリケーションログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 62 10）サインオン・ルールの追加画面にて、ルール名に社内NW用ルールと分かるような任意の値を入力し、条件部分に下記を設定します。・クライアントIPアドレスでフィルタ ⇒ 「次のネットワーク・ペリメータに制限します。」チェックON ・ネットワーク・ペリメータ ⇒ 上記にて登録した社内NW用ネットワークペリメータを選択

Slide 63

Slide 63 text

Slide 64

Slide 64 text

Slide 65

Slide 65 text

個別アプリケーションログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 65 13）サインオン・ルールの作成にて、ルール名に社外NW(社内NW以外)用ルールと分かるような任意の値を入力します。条件部分には何も指定せず（デフォルトのまま）、アクション部分にて下記を設定し、「サインオン・ルールの追加」を選択します。・アクセスの許可：チェックON ・追加ファクタの要求：チェックON ・指定されたファクタのみ：チェックON ・モバイル・アプリケーション・パスコード：チェックON ・モバイル・アプリケーション通知：チェックON ・頻度 - セッションごと・・・：チェックON ・登録 – 必須：チェックON

Slide 66

Slide 66 text

個別アプリケーションログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 66 14）サインオンルールが作成されたことを確認し、作成したルールの評価順序が下記のようになっていることを確認し、「次」を選択します。優先度1：社内NW用ルール（Internal NW Rule）優先度2：社外NW(社内NW以外)用ルール（External NW Rule） ※優先度が上記になっていない場合には「優先度の編集」を選択し、表示された画面にて優先度を変更します。

Slide 67

Slide 67 text

個別アプリケーションログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 67 15）アプリケーションの追加画面にて「アプリケーションの追加」を選択します。表示されたアプリケーション選択画面にて、本ポリシーを適用したいアプリケーションにチェックを入れ、「アプリケーションの追加」を選択します。 ※本ポリシーを複数アプリケーションに適用したい場合には、ここで対象のアプリケーションをすべて選択します。

Slide 68

Slide 68 text

Slide 69

Slide 69 text

Slide 70

Slide 70 text

個別アプリケーションログイン時にMFA＋IPアドレス制御を行う (モバイルアプリケーションを利用したMFA) Copyright © 2024, Oracle and/or its affiliates 70 18）作成した個別アプリケーション用サインオンポリシーがアクティブ化されたことを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況になる可能性があります。そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認を行うことを強くお勧めします。

Slide 71

Slide 71 text

動作確認社内NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 71 1）社内NWから個別アプリケーションにアクセスします。 2）Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。 3）MFA要求なしに該当アプリケーションでアクセスできたことを確認します。サインオンルール「社内ＮＷ用ルール(Internal NW Rule)が適用されたことになります。

Slide 72

Slide 72 text

動作確認社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 72 1）モバイル(iPhone/Android)にモバイルオーセンティケータ(例：Oracle Mobile Authenticator）をインストールしておきます。 2）社外NWから個別アプリケーションにアクセスします。 3）Identity Domainログイン画面にてID/パスワードを指定し、「サイン・イン」を選択します。

Slide 73

Slide 73 text

動作確認社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 73 4）2要素認証の有効化(セキュアな検証の有効化)画面が表示されることを確認します。「セキュアな検証の有効化」を選択します。 ※本画面は、2要素認証を設定していないユーザーがログインした際に表示される画面です。サインオンルール「社外ＮＷ用ルール(External NW Rule)が適用されたことになります。

Slide 74

Slide 74 text

動作確認社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 74 5）モバイルにインストールしたモバイルアプリケーションにて表示されたQRコードを読み込み登録します。モバイルアプリケーション側で登録が完了すると画面が先に進みます。 Oracle Mobile Authenticator以外のモバイルオーセンティケータを利用する場合には、ここをチェックONにし新たに表示されたQRコードを読み取ります。

Slide 75

Slide 75 text

Slide 76

Slide 76 text

Slide 77

Slide 77 text

動作確認社外NWからのアプリケーションアクセス Copyright © 2024, Oracle and/or its affiliates 77 補足）Oracle Mobile Authenticatorのワンタイムパスコードを利用したい場合には、「かわりのログイン方法を表示」を選択します。「モバイル・アプリ・・・・によって生成されるパスコードを使用」を選択します。モバイルアプリケーションに表示されるワンタイムパスコードを入力する画面に切り替わります。

Slide 78

Slide 78 text

Slide 79

Slide 79 text

Copyright © 2024, Oracle and/or its affiliates 本手順による実現イメージ/サインオン・ポリシーの構成 79 • 個別アプリケーション用のカスタムサインオン・ポリシーを作成し、グループを用いた条件を定義し、個別アプリケーションへポリシー適用を行います。グループ「正社員」に所属ユーザーグループ「正社員」に所属していないユーザーアクセス許可アクセス拒否条件アクション個別アプリケーションルール1 ルール2 カスタム Sign-On Policy 【実現イメージ】【サインオンポリシー構成】グループ「正社員」に所属ユーザーパスワード認証社外 NW 社内 NW 社外 NW 社内 NW グループ「正社員」に所属してないユーザー

Slide 80

Slide 80 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 80 1) OCI管理者でOCIコンソール(https://www.oracle.com/jp/cloud/sign-in.html)にアクセスします。テナント名(クラウド・アカウント名)を入力し「Next」を選択します。アイデンティティ・ドメインの選択にて「Default」を選択し、管理者のID/パスワードを入力しOCIコンソールにログインします。 ※ドメイン選択画面が表示されない環境はDefaultドメインのみ存在する環境になり、自動的に“Defaultドメイン”にログインすることになります。 ※環境によりこのドメイン選択画面は表示されません。

Slide 81

Slide 81 text

Slide 82

Slide 82 text

Slide 83

Slide 83 text

Slide 84

Slide 84 text

Slide 85

Slide 85 text

Slide 86

Slide 86 text

Slide 87

Slide 87 text

Slide 88

Slide 88 text

Slide 89

Slide 89 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 89 10）サインオン・ルールの追加画面にて、ルール名に正社員グループ所属用ルールと分かるような任意の値を入力し、条件部分に下記を設定します。・グループ・メンバーシップ部分にて「追加」を選択し、上記にて作成した正社員用グループ(例：正社員グループ)を選択します。

Slide 90

Slide 90 text

Slide 91

Slide 91 text

Slide 92

Slide 92 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 92 13）サインオン・ルールの作成にて、ルール名に正社員グループ以外のルールと分かるような任意の値を入力します。条件部分には何も指定せず（デフォルトのまま）、アクション部分にて「アクセスの拒否」をチェックONにします。「サインオン・ルールの追加」を選択します。

Slide 93

Slide 93 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 93 14）サインオンルールが作成されたことを確認し、作成したルールの評価順序が下記のようになっていることを確認し、「次」を選択します。優先度1：正社員グループ用ルール（Full-Time Emp Rule）優先度2：正社員グループ以外用ルール（Non Full-Time Emp Rule） ※優先度が上記になっていない場合には「優先度の編集」を選択し、表示された画面にて優先度を変更します。

Slide 94

Slide 94 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 94 15）アプリケーションの追加画面にて「アプリケーションの追加」を選択します。表示されたアプリケーション選択画面にて、本ポリシーを適用したいアプリケーションにチェックを入れ、「アプリケーションの追加」を選択します。 ※本ポリシーを複数アプリケーションに適用したい場合には、ここで対象のアプリケーションをすべて選択します。

Slide 95

Slide 95 text

Slide 96

Slide 96 text

Slide 97

Slide 97 text

個別アプリケーションログイン時にグループによるアクセス制御を行う Copyright © 2024, Oracle and/or its affiliates 97 18）作成した個別アプリケーション用サインオンポリシーがアクティブ化されたことを確認します。 ※重要※ サインオンポリシーで間違った設定をした場合、管理者を含む全員がOCIコンソールにアクセスできなくなり、設定修正を行うことができない状況になる可能性があります。そのため、サインポリシーの動作確認をする場合には、OCIコンソールにログインした状態のセッション(ブラウザ)を残したまま、別セッションで動作確認を行うことを強くお勧めします。

Slide 98

Slide 98 text

動作確認「正社員用グループ」に所属しているユーザーによるアクセス Copyright © 2024, Oracle and/or its affiliates 98 1）個別アプリケーションにアクセスします。 2）Identity Domainログイン画面にて、正社員用グループに所属しているユーザーID/パスワードを指定し、「サイン・イン」を選択します。 3）該当アプリケーションでアクセスできたことを確認します。サインオンルール「正社員グループ用ルール(Full-Time Emp Rule) が適用されたことになります。

Slide 99

Slide 99 text

1）個別アプリケーションにアクセスします。 2）Identity Domainログイン画面にて、正社員用グループに所属していないユーザーID/パスワードを指定し、「サイン・イン」を選択します。 3）サインオンポリシーによりアクセスが拒否された画面が表示され、該当アプリケーションでアクセスできないことを確認します。動作確認「正社員用グループ」に所属していないユーザーによるアクセス Copyright © 2024, Oracle and/or its affiliates 99 サインオンルール「正社員グループ用ルール(Non Full-Time Emp Rule) が適用されたことになります。

Slide 100

Slide 100 text

No content