Oracle Cloud Infrastructureドキュメント

サインオン・ポリシーの作成

IAMのアイデンティティ・ドメインにサインオン・ポリシーを追加します。

このタスクでは、非アクティブ状態のサインオン・ポリシーを追加します。このタスクを完了したら、ポリシーをアクティブ化して、アイデンティティ・ドメインでの適用を開始する必要があります。

サインオン・ポリシーに定義できる基準は次のとおりです:

  • ユーザーの認証に使用されるアイデンティティ・プロバイダ

  • ユーザーがメンバーであるグループ

  • ユーザーがアイデンティティ・ドメイン管理者であるかどうか

  • ユーザーを除外するかどうか

  • ユーザーがアイデンティティ・ドメインへのサインインに使用しているIPアドレス

  • ユーザーがアイデンティティ・ドメインへの再度サインインすることを強制するか(認証のため)、アイデンティティ・ドメインへの次回サインインするときに認証されるか

  • ユーザーにアイデンティティ・ドメインにサインインするための別の要素を要求するかどうか

  1. 「サインオン・ポリシー」リスト・ページで、「サインオン・ポリシーの作成」を選択します。リスト・ページの検索に関するヘルプが必要な場合は、サインオン・ポリシーのリストを参照してください。
  2. ポリシーの名前とオプションの説明を入力します。機密情報の入力は避けてください。
  3. 「サインオン・ポリシーの作成」を選択します。
  4. 「サインオン・ルール」タブ・ページで、「サインオン・ルールの追加」を選択します。
  5. サインオン・ルールの名前を追加します。機密情報を入力しないでください。
  6. 「条件」で、次の情報を入力します:
    • アイデンティティ・プロバイダの認証(オプション): このルールによって評価されるユーザー・アカウントの認証に使用されるアイデンティティ・プロバイダをすべて入力または選択します。これを空のままにすると、その他の条件が認証に使用されます。
    • グループ・メンバーシップ: 「アクション」を入力または選択し、「追加」を選択して、このルールの基準を満たすメンバーであるグループを追加します。
    • 管理者: このルールの基準を満たすためにユーザーをアイデンティティ・ドメインの管理者ロールに割り当てる必要がある場合、このオプションを選択します。

      サインイン状態を保持: ユーザーに対して有効なサインイン状態を保持が存在する場合にのみルールを適用するには、このオプションを選択します。

      この条件を使用するには、「サインイン状態を保持」を有効にする必要があります。セッション設定の変更を参照してください。

      サインオン・ポリシーは、「サインイン状態を保持」セッションをオーバーライドします。つまり、ユーザーが「サインイン状態を保持」を使用してサインインしていても、セッションが期限切れになった後、ポリシーで再認証またはマルチファクタ認証(MFA)が必要とされている場合、ユーザーは再認証するかMFAを提供するよう要求されます。

    • ユーザーの除外: ルールから除外するユーザーを入力または選択してください。ユーザーの検索を開始するには、3文字以上入力する必要があります。
      重要

      各ポリシーから1人のアイデンティティ・ドメイン管理者を除外してください。これにより、問題が発生した場合、少なくとも1人の管理者が常にアイデンティティ・ドメインにアクセスできます。
    • クライアントIPアドレスによるフィルタ: 次のいずれかのオプションを選択します。

      • 任意の場所: ユーザーは、任意のIPアドレスを使用してアイデンティティ・ドメインにサインインできます。

      • 次のネットワーク境界に制限: ユーザーは、定義済のネットワーク・ペリの中に含まれているIPアドレスのみを使用して、アイデンティティ・ドメインにサインインできます。「ネットワーク・ペリメータ」テキスト・ボックスで、定義したネットワーク境界を入力または選択します。詳細は、ネットワーク・ペリメータの作成を参照してください。

  7. 適応セキュリティ条件: ユーザー・リスク・レベル、範囲、リスク・プロバイダの名前、リスク・スコアおよびリスク値を選択します。
  8. 「アクション」で、ユーザー・アカウントがこのルールの基準を満たす場合に、ユーザーにコンソールへのアクセスを許可するかどうか選択します。

    「アクセスの拒否」を選択した場合は、次のステップに進みます。

    「アクセスの許可」を選択した場合は、次の追加オプションの値を入力します。

    • 再認証のプロンプト: スイッチを切り替えて、既存のIAMドメイン・セッションがある場合でも、割り当てられたアプリケーションにアクセスするための資格証明の再入力をユーザーに強制します。
      • このオプションを選択すると、サインオン・ポリシーに割り当てられたアプリケーションのシングル・サインオンが防止されます。たとえば、認証されたユーザーは新しいアプリケーションにサインインする必要があります。
      • 選択せず、ユーザーが以前に認証されている場合、ユーザーは資格証明を入力せずに既存のシングル・サインオン・セッションを使用してアプリケーションにアクセスできます。
    • 追加ファクタのプロンプト: スイッチを切り替えて、アイデンティティ・ドメインにサインインするための追加ファクタの入力を求めます。

      このオプションを選択する場合は、マルチファクタ認証(MFA)に登録するかどうか、およびこの追加ファクタをサインインに使用する頻度を指定します。

    • 任意のファクターまたは指定ファクターのみ: 次のオプションのいずれかを選択します。
      • 任意のファクタ: ユーザーは、MFAテナント・レベル設定で有効な任意の要素の登録および検証を要求します。
      • 指定されたファクタ: MFAテナント・レベル設定で有効になっているファクタのサブセットを登録および検証するようユーザーに求めるプロンプトのみ。「指定されたファクタ」を選択した後、このルールで施行する必要があるファクタを選択します。
    • 頻度: ユーザーが2番目のファクタを要求する頻度を指定します。
      • セッションごと、または信頼できるデバイスごとに1回: ユーザーは、認可デバイスから開いたセッションごとに、ユーザー名とパスワードの両方に加えて、2番目の要素を使用する必要があります。
      • 毎回:ユーザーが信頼できるデバイスからサインインするたびに、ユーザー名とパスワードと2番目の要素を使用する必要があります。
      • カスタム間隔: ユーザーがサインインするために2番目の要素を提供する必要のある頻度を示します。たとえば、ユーザーがこの追加係数を2週間ごとに使用する場合は、「数値」「14」を選択し、「間隔」「日数」を選択します。MFAを構成した場合、この数は、MFA設定に従ってデバイスを信頼できる日数以下にする必要があります。詳細は、マルチファクト認証の管理に関する項を参照してください。
    • 登録: 次のいずれかのオプションを選択します。
      重要

      サインオン・ポリシーのテストが終了するまで、「登録」「オプション」に設定します。
      • 必須により、ユーザーはMFAに登録されます。
      • 「オプション」を選択すると、MFAへの登録をスキップするオプションが表示されます。ユーザー名とパスワードの入力後、ユーザーにはインライン登録設定プロセスが表示されますが、「スキップ」を選択できます。ユーザーは、後でマイ・プロファイルの「セキュリティ」設定の「2ステップの検証」設定からMFAを有効にすることができます。ユーザーは、次回サインインしたときに要素を設定するよう求められていません。「登録」「必須」に設定し、後で「オプション」に変更した場合、変更の影響は新規ユーザーのみになります。MFAにすでに登録されているユーザーには、インライン登録プロセスが表示されず、サインイン時に「スキップ」を選択できません
  9. 「追加」を選択します。
  10. (オプション)「サインオン・ルールの追加」ページで、「サインオン・ルールの追加」を再度選択して、このポリシーへの別のサインオン・ルールを追加します。
    ノート

    このポリシーに複数のサインオン・ルールを追加した場合は、それらの評価順序を変更できます。ルールの順序を変更するには、「優先度の編集」を選択し、矢印を使用します。
  11. 「アプリケーション」タブで、「アプリケーションの追加」を選択して、このポリシーにアプリケーションを追加します。
  12. 「アプリケーションの追加」パネルで、ポリシーに追加するアプリケーションを選択し、「アプリケーションの追加」を選択します。
    ノート

    アプリケーションを追加できるのは、1つのサインオン・ポリシーのみです。アプリケーションがどのサインオン・ポリシーにも明示的に割り当てられていない場合、デフォルトのサインオン・ポリシーがアプリケーションに適用されます。

  13. サインオン・ポリシーが非アクティブ状態で保存されます。ポリシーの作成が終了したら、それを使用するにはポリシーをアクティブ化する必要があります。