サインオン・ポリシーの作成

サインオン・ポリシーは非アクティブな状態で保存されます。ポリシーの作成が終了したら、それを使用するにはポリシーをアクティブ化する必要があります。

• アイデンティティ・プロバイダの認証(オプション): このルールによって評価されるユーザー・アカウントの認証に使用されるすべてのアイデンティティ・プロバイダを入力または選択します。これを空のままにすると、その他の条件が認証に使用されます。
• グループ・メンバーシップ: このルールの基準を満たすためにユーザーがメンバーになる必要があるグループを入力または選択します。グループの検索を開始するには、3文字以上入力する必要があります。
• 管理者: このルールの基準を満たすためにユーザーをアイデンティティ・ドメインの管理者ロールに割り当てる必要がある場合、このチェック・ボックスを選択します。

• サインイン状態を保持: ユーザーに有効な「サインイン状態を保持」が存在する場合にのみルールを適用するには、このオプションを選択します。

  この条件を使用するには、「サインイン状態を保持」を有効にする必要があります。セッション設定の変更を参照してください。

  サインオン・ポリシーは、「サインイン状態を保持」セッションをオーバーライドします。つまり、ユーザーが「サインイン状態を保持」を使用してサインインしていても、セッションが期限切れになった後、ポリシーで再認証またはマルチファクタ認証(MFA)が必要とされている場合、ユーザーは再認証するかMFAを提供するよう要求されます。

• ユーザーの除外: ルールから除外するユーザーを入力または選択します。ユーザーの検索を開始するには、3文字以上入力する必要があります。
  重要
  
  各ポリシーから1人のアイデンティティ・ドメイン管理者を除外してください。これにより、問題が発生した場合に、少なくとも1人の管理者が常にアイデンティティ・ドメインにアクセスできるようになります。
• クライアントIPアドレスによるフィルタ: 次のいずれかのオプションを選択します:

  • 任意の場所: ユーザーは、任意のIPアドレスを使用してアイデンティティ・ドメインにサインインできます。

  • 次のネットワーク・ペリメータに制限: ユーザーは、定義されたネットワーク・ペリメータに含まれているIPアドレスのみを使用して、アイデンティティ・ドメインにサインインできます。「ネットワーク・ペリメータ」テキスト・ボックスで、定義したネットワーク・ペリメータを入力または選択します。詳細については、Creating a Network Perimeterを参照してください。

「アクセスの拒否」を選択した場合は、次のステップにスキップします。

「アクセスの許可」を選択した場合は、次の追加オプションの値を入力します。

• 再認証のプロンプト: 既存のIAMドメイン・セッションがある場合でも、割り当てられたアプリケーションにアクセスするための資格証明を再入力するようユーザーに強制するには、このチェック・ボックスを選択します。
  • このオプションを選択すると、サインオン・ポリシーに割り当てられたアプリケーションのシングル・サインオンが防止されます。たとえば、認証されたユーザーは新しいアプリケーションにサインオンする必要があります。
  • 選択しない場合、ユーザーが以前に認証済の場合、ユーザーは資格証明を入力する必要なく、既存のシングル・サインオン・セッションを使用してアプリケーションにアクセスできます。
• 追加ファクタの要求: ユーザーにアイデンティティ・ドメインにサインインするための追加ファクタを要求する場合は、このチェック・ボックスを選択します。

  このチェック・ボックスを選択した場合、ユーザーをマルチファクタ認証(MFA)に登録する必要があるかどうか、およびこの追加ファクタを使用してサインインする頻度を指定する必要があります。

• 任意のファクタまたは指定したファクタのみ: 次のいずれかのオプションを選択します:
  • Any factor: ユーザーは、MFAテナント・レベル設定で有効な任意のファクタに登録および検証するよう求められます。
  • 指定されたファクタ: ユーザーは、MFAテナント・レベル設定で有効なファクタのサブセットの登録および検証のみを求められます。「指定されたファクタ」を選択した後、このルールによって適用する必要があるファクタを選択します。
• 頻度: ユーザーが2番目のファクタを要求する頻度を指定します。
  • セッションまたは信頼できるデバイスごとに1回: ユーザーが認可デバイスから開いたセッションごとに、ユーザー名とパスワードの両方、および2番目のファクタを使用する必要があります。
  • 毎回:ユーザーは、信頼できるデバイスからサインインするたびに、ユーザー名とパスワードに加え、2番目の要素を使用する必要があります。
  • カスタム間隔: ユーザーがサインインするために2番目の要素を提供する必要がある頻度を指定します。たとえば、ユーザーがこの追加要素を2週間ごとに使用する場合は、「数値」で「14」をクリックし、「期間」で「日」を選択します。MFAを構成した場合、この数は、MFA設定に従ってデバイスを信頼できる日数以下にする必要があります。詳細は、マルチファクタ認証の管理を参照してください。
• 登録: 次のいずれかのオプションを選択します。
  重要
  
  サインオン・ポリシーのテストが完了するまで、「登録」を「オプション」に設定します。
  • 必要な場合、ユーザーはMFAに登録する必要があります。
  • 「オプション」を選択すると、ユーザーはMFAへの登録をスキップできます。ユーザーには、ユーザー名とパスワードの入力後にインライン登録設定プロセスが表示されますが、「スキップ」をクリックできます。ユーザーは、後でマイ・プロファイルの「セキュリティ」設定の「2ステップ検証」設定からMFAを有効にできます。ユーザーは、次回サインインしたときに要素を設定するよう求められません。「登録」を「必須」に設定し、「オプション」に変更した場合、変更の影響を受けるのは新規ユーザーのみです。MFAにすでに登録されているユーザーにはインライン登録プロセスが表示されず、サインイン時に「スキップ」をクリックできなくなります