デフォルトドメインへの暗黙的アクセスの使用

サインオン・方針

デフォルトのアイデンティティ・ドメインの管理者がロックアウトされるリスクを最小限に抑えるために、暗黙的なブレーク・ガラス・ワークフローが作成されます。このワークフローは、次の条件が適用される場合に作成されます。

• コンソールにアクセスするユーザーは管理者です。
• ユーザーがデフォルト・ドメインにアクセスしています。
• コンソールの該当するサインイン・ポリシーに特定のdeny文が存在しません。

例: 。

このシナリオでは、次のユーザー、admin1、admin2、admin3およびuser1を使用します。

要件:

• すべてのユーザーは、デフォルト・ドメインのメンバーです。
• サインオン・ポリシーは、同じ順序で次のルールで構成されます。
  ノート
  
  admin3ユーザーはgroup1のメンバーです。
  • ルール1: Allow all administrators access except exclude the admin2。
  • ルール2: Allow all users who are members of group group1 access。

結果:

• admin1: アクセスが許可されます。サインオン・ルールが一致せず、明示的な拒否、管理者およびデフォルト・ドメインへのアクセスもありません。
• admin2: アクセスが拒否されました。ユーザーadmin2は、ルール1で明示的にアクセスを拒否されます。
• admin3: アクセスが許可されます。admin3ユーザーは管理者であり、group1のメンバーです。
• user1: アクセスが拒否されました。ユーザーuser1がどのルールとも一致しません。

アイデンティティ・プロバイダ・ポリシー

アイデンティティ・プロバイダ・ポリシーのアイデンティティ・プロバイダ・ルールが1つのSAMLまたはSOCIAL (OIDC)アイデンティティ・プロバイダのみで構成されている場合、コンソール・アクセス用の暗黙的なブレーク・ガラス・ワークフローがトリガーされます。このような場合、コンソールのデフォルト・ドメインにアクセスすると、リモート・フェデレーション・パートナにユーザーをリダイレクトするのではなく、常にコンソールのサインイン・ページが表示されます。