アクセス制御ポリシー - Identity as a Service - Alibaba Cloud ドキュメントセンター

このトピックでは、条件付きアクセス機能と、この機能の設定方法および使用方法について説明します。

概要

条件付きアクセスとは、アクセスコンテキストを評価し、最終的にアクセスに関する決定を策定するプロセスです。条件付きアクセス機能を使用すると、さまざまなシナリオに基づいてアクセス制御を実装できます。たとえば、アプリケーションの種類に基づいて 2 要素認証を設定できます。

デフォルトのアクセス制御ポリシーは無料で使用できます。カスタムアクセス制御ポリシーを使用する場合は、Identity as a Service（IDaaS）Employee Identity Access Management（EIAM）2.0 の Enterprise Edition インスタンスを購入し、そのインスタンスの条件付きアクセス機能を購入する必要があります。詳細については、「条件付きアクセスの課金」をご参照ください。

用語

用語	説明
カスタムアクセス制御ポリシー	カスタムアクセス制御ポリシーを使用すると、訪問者、アクセス可能なオブジェクト、制限など、カスタム条件を設定できます。カスタムアクセス制御ポリシーを使用するには、条件付きアクセス機能を別途購入する必要があります。
デフォルトのアクセス制御ポリシー	デフォルトのアクセス制御ポリシーは、IDaaS EIAM インスタンスによって提供されるシステムポリシーです。 2 要素認証の設定に基づいて、デフォルトのアクセス制御ポリシーを変更できます。詳細については、「2 要素認証」をご参照ください。デフォルトのアクセス制御ポリシーのカスタム条件を設定することはできません。
アクセス条件	アクセス条件には、アクセス可能なオブジェクト、訪問者、制限が含まれます。アクセスコンテキストがアクセス制御ポリシーのすべての条件を満たしている場合にのみ、アクセス制御ポリシーがヒットします。そうでない場合、システムは条件付き評価に優先度の低いポリシーを自動的に使用します。
アクセスに関する決定	アクセスに関する決定は、すべての条件が満たされた場合にのみ適用されます。アクセスに関する決定は、アクセスの許可、アクセスの拒否、または 2 要素認証の実装です。

カスタムアクセス制御ポリシーの作成

IDaaS コンソールにログオンします。EIAM[EIAM] ページで、管理する IDaaS EIAM インスタンスをクリックします。左側のナビゲーションペインで、[サインイン] をクリックします。サインインポリシーを追加 ページのタブで、をクリックします。最大 10 個のカスタムアクセス制御ポリシーを作成できます。

ステップ 1：基本情報を入力する

ポリシー名: アクセス制御ポリシーの名前を入力します。この名前は IDaaS コンソールにのみ表示されます。
優先度: アクセス制御ポリシーの優先度を指定します。アクセスごとにヒットするアクセス制御ポリシーは 1 つだけです。ポリシーの優先度を指定して、柔軟なアクセス制御を実装できます。有効な値：1 ～ 100。値が小さいほど、優先度が高くなります。

ステップ 2：アクセス可能なオブジェクトを指定する

アクセス可能なオブジェクトとは、保護されたアプリケーションのことです。[アプリケーション範囲] パラメーターを [すべてのアプリケーション] または [特定のアプリケーション] に設定できます。

すべてのアプリケーション: アプリケーションにアクセスすると、この条件が満たされます。
特定のアプリケーション: 特定のアプリケーションにアクセスした場合にのみ、この条件が満たされます。[特定のアプリケーション] を選択した場合は、[アプリケーションの選択] パラメーターで IDaaS アプリケーションポータル、または IDaaS EIAM インスタンスで作成されたアプリケーションを選択できます。

ステップ 3：訪問者を指定する

訪問者とは、アクセス要求を開始するアカウントのことです。[訪問者の範囲] パラメーターを [すべてのアカウント]、[すべてのグループ]、または [特定のアカウント] に設定できます。

すべてのアカウント: すべてのアカウントがこの条件を満たします。
すべてのグループ: アカウントがグループの名前である場合、この条件が満たされます。
特定のアカウント: 特定のアカウントがこの条件を満たします。アカウントを直接選択するか、グループまたは組織を設定してアカウントを選択できます。

さらに、[訪問者を除外] 機能を使用して、除外されたアカウントが条件を満たさないように指定できます。こうすることで、アクセス制御ポリシーはヒットしません。

ステップ 4：制限を指定する

アクセス制御ポリシーの制限としてネットワークスコープを指定できます。ネットワークスコープを設定するには、他の設定を変更せずに IP アドレスを動的に調整できるネットワークアクセス機能を使用します。詳細については、「ネットワークスコープ」をご参照ください。[クライアント CIDR ブロック] パラメーターを [すべての IP アドレス] または [特定の CIDR ブロック] に設定できます。

すべての IP アドレス: 訪問者のネットワークスコープに関係なく、この条件が満たされます。
特定の CIDR ブロック: 訪問者がネットワークスコープで指定された CIDR ブロックまたは IP アドレスを使用している場合にのみ、この条件が満たされます。

ステップ 5：アクセスに関する決定を指定する

アクセス要求がアクセス制御ポリシーのすべての条件を満たすと、アクセス制御ポリシーがヒットし、IDaaS はアクセス制御ポリシーで指定されたアクセスに関する決定を適用します。アクセスに関する決定について、以下に説明します。

アクセスの許可: アクセス制御ポリシーがヒットすると、アクセス要求が許可されます。[アクセスの許可] を選択した場合は、さらにパラメーターを設定して、アクセスのセキュリティまたは利便性を向上させることができます。
- 2 要素認証モードの選択: 2 要素認証を実装するかどうかを指定します。
  - 2 要素認証を必須にしない: アカウントに 2 要素認証は不要であり、アカウントはアプリケーションに直接アクセスできます。
  - カスタム 2 要素認証: アカウントに 2 要素認証が必要であり、アカウントは指定した方法で 2 要素認証に合格する必要があります。たとえば、機密性の高いアプリケーションに厳格な 2 要素認証方法を指定できます。
- 2 要素認証方法の選択: アカウントの 2 要素認証方法を 1 つ以上選択します。その後、アカウントは、いずれかの方法で 2 要素認証に合格する必要があります。
- MFA 自動パス: アカウントのログオンセッションが開始され、アクセス制御ポリシーの条件を満たしている場合、2 要素認証は不要です。たとえば、アプリケーション A とアプリケーション B には同じアクセス制御ポリシーがあり、2 要素認証に SMS 確認コードが必要です。アカウントがアプリケーション A にアクセスした後、アカウントがアプリケーション B にアクセスするときに 2 要素認証は不要になります。
- MFA 自動パスの有効期間: 指定した有効期間中は、2 要素認証は不要です。これは、アクセスセキュリティの確保に役立ちます。
アクセスの拒否: アクセス制御ポリシーがヒットすると、アクセス要求が拒否されます。

重要

[アクセスの拒否] を選択し、アクセス制御ポリシーがヒットした場合、アカウントは必要なアプリケーションにアクセスできません。IDaaS アプリケーションポータルの [アクセスポリシー] パラメーターが [アクセスの拒否] に設定されている場合、ユーザーはポータルにログオンできません。注意して進めてください。

説明

アクセス制御ポリシーは、作成または変更されてから 3 分後に有効になります。

ステップ 6：カスタムアクセス制御ポリシーを有効にする

通常のユーザーアクセスを確保するために、カスタムアクセス制御ポリシーは作成後に自動的に無効になります。カスタムアクセス制御ポリシーを使用する場合は、手動で有効にしてください。

カスタムアクセス制御ポリシーの削除

カスタムアクセス制御ポリシーを手動で削除できます。カスタムアクセス制御ポリシーを削除する前に、無効にする必要があります。通常のユーザーアクセスを確保するために、カスタムアクセス制御ポリシーを無効にした後、ユーザーアクセスを監視することをお勧めします。例外が発生しない場合は、カスタムアクセス制御ポリシーを削除できます。削除されたカスタムアクセス制御ポリシーを復元することはできません。

デフォルトのアクセス制御ポリシー

デフォルトのアクセス制御ポリシーは優先度が最も低く、すべてのアカウントとアプリケーションに対して永続的に有効になります。デフォルトのアクセス制御ポリシーのスコープと制限は調整できません。[2 要素認証] ページで、2 要素認証を有効または無効にするか、2 要素認証方法を変更できます。詳細については、「2 要素認証」をご参照ください。

シナリオと使用方法

シナリオ	アクセス制御ポリシー	ポリシー設定	説明
IDaaS またはアプリケーションには、オフィスの IP アドレスを使用してのみアクセスできます。	ポリシー 1	優先度：1 アプリケーション範囲：すべてのアプリケーション訪問者の範囲：すべてのアカウントクライアント CIDR ブロック：オフィスの CIDR ブロックアクセスポリシー：アクセスの許可	優先度が高い。すべての条件が満たされると、アクセス要求が許可されます。
IDaaS またはアプリケーションには、オフィスの IP アドレスを使用してのみアクセスできます。	ポリシー 2	優先度：2 アプリケーション範囲：すべてのアプリケーション訪問者の範囲：すべてのアカウントクライアント CIDR ブロック：すべての IP アドレスアクセスポリシー：アクセスの拒否	優先度が低い。ポリシー 1 がヒットしない場合、アクセス要求は拒否されます。
特定のアプリケーションでは、2 要素認証に WebAuthn ログオンが必要です。詳細については、「WebAuthn ログオン」をご参照ください。	ポリシー 3	優先度：1 アプリケーション範囲：特定のアプリケーション訪問者の範囲：すべてのアカウントクライアント CIDR ブロック：すべての IP アドレスアクセスポリシー：アクセスの許可 [2 要素認証モードの選択]：このパラメーターに [カスタム 2 要素認証] を選択します。次に、[WebAuthn] を選択します。 MFA 自動パス：ビジネス要件に基づいて、このオプションを選択または選択解除します。	特定のアプリケーションにアクセスするときは、2 要素認証に WebAuthn を使用する必要があります。WebAuthn は、ネイティブ指紋認証や顔認証などの認証方法をサポートしています。
機密性の高いアプリケーションの各アクセス要求には、2 要素認証が必要です。	ポリシー 4	優先度：1 アプリケーション範囲：特定のアプリケーション訪問者の範囲：すべてのアカウントクライアント CIDR ブロック：すべての IP アドレスアクセスポリシー：アクセスの許可 [2 要素認証モードの選択]：このパラメーターに [カスタム 2 要素認証] を選択します。 MFA 自動パス：このオプションの選択を解除します。	アプリケーションのシングルサインオン（SSO）操作ごとに 2 要素認証が必要です。
グループ A とグループ B のアカウントには、異なるアクセス要件があります。	ポリシー 5	優先度：1 アプリケーション範囲：すべてのアプリケーション訪問者のスコープ：グループ A クライアント CIDR ブロック：すべての IP アドレスアクセスポリシー：アクセスの許可	グループ A のアクセス制御ポリシー
グループ A とグループ B のアカウントには、異なるアクセス要件があります。	ポリシー 6	優先度：1 アプリケーション範囲：すべてのアプリケーション訪問者のスコープ：グループ B クライアント CIDR ブロック：すべての IP アドレスアクセスポリシー：アクセスの許可 [2 要素認証モードの選択]：このパラメーターに [カスタム 2 要素認証] を選択します。	グループ B のアクセス制御ポリシー

概要

用語

カスタム アクセス制御ポリシーの作成