Oracle Cloud Infrastructureドキュメント

サインオン・ポリシーの管理

この項のトピックでは、アイデンティティ・ドメインのサインオン・ポリシーを作成、アクティブ化、更新、非アクティブ化および削除する方法について説明します。

サインオン・ポリシーおよびサインオン・ルールについて

サインオン・ポリシーでは、サインオン・ルールを使用して、ユーザーにアイデンティティ・ドメインまたはアプリケーションへのサインインを許可するかどうかを決定する基準を定義します。

すべてのアイデンティティ・ドメインには、デフォルト・サインオン・ポリシーが付属しています。アイデンティティ・ドメインにOCIコンソールのセキュリティ・ポリシー・サインオン・ポリシーが事前構成されている場合は、そのポリシーを使用することをお薦めします。必要に応じて、追加のサインオン・ポリシーを追加できます。サインインオン・ポリシーのサインオン・ルールに優先順位を付けて、ルールの評価順序を指定します。

「デフォルト」サインオン・ポリシー

すべてのアイデンティティ・ドメインには、デフォルト・サインオン・ルールを含むアクティブなデフォルト・サインオン・ポリシーが含まれます。

デフォルトでは、このデフォルト・サインオン・ルールにより、すべてのユーザーがユーザー名とパスワードを使用してアイデンティティ・ドメインにサインインできるようになります。他のサインオン・ルールを追加することで、このポリシーに基づいて構築できます。これらのルールを追加することで、一部のユーザーがアイデンティティ・ドメインにサインインすることを防止できます。または、サインインを許可し、Oracle Cloud Infrastructure Consoleなどのアイデンティティ・ドメインによって保護されているリソースにアクセスするための追加のファクタを要求することもできます。

たとえば、デフォルトのサインオン・ポリシーに2つのサイン・オン・ルールを作成できます。最初のルールでは、定義したネットワーク・ペリの範囲内にあるIPアドレスを使用している場合、すべてのユーザーがアイデンティティ・ドメインにサインインすることを防止します: 「拒否されたネットワーク境界」。2番目のルールは、特定のグループに属するユーザー(UA Developersグループなど)に、2ステップ検証プロセスの一環として2番目の要素を要求します: UA Developersグループ。他のすべてのユーザーは、2番目の要素を要求されずにサインインできます。

重要

デフォルトのサインオン・ルールでは、すべてのユーザーのアクセスを拒否するように設定しないでください。アイデンティティ・ドメインにサインインできるように定義された他のルールの基準を満たさない場合、ユーザーは、アイデンティティ・ドメインで保護されたリソースにアクセスできなくなります。また、このサインオン・ルールを最後に評価するようにアイデンティティ・ドメインを構成してください。このルールは、デフォルトですべてのユーザーにアイデンティティ・ドメインへのサインインを許可するためです。

OCIコンソールのセキュリティ・ポリシー・サインオン・ポリシー

OCIコンソールのセキュリティ・ポリシー・サインオン・ポリシーは、デフォルトでアクティブ化され、Oracleセキュリティのベスト・プラクティスで事前構成されています。

  • このサインオン・ポリシーに必要なファクタは、モバイル・アプリケーション・パスコードモバイル・アプリケーション通知バイパス・コードおよびFast ID Online (FIDO)オーセンティケータですでに有効です。
  • OCIコンソール・アプリケーションがポリシーに追加されました。
  • サインオン・ポリシーには、次の2つのアクティブなサインオン・ルールが付属しています。

    OCIコンソール・サインオン・ポリシーのセキュリティ・ポリシーのルール

    • 管理者用MFA: ルールは優先度順です。この事前構成済ルールでは、管理者グループのすべてのユーザーおよび管理者ロールを持つすべてのユーザーがMFAに登録する必要があり、サインインするたびに追加のファクタを指定する必要があります。
      ノート

      このルールを削除し、「すべてのユーザーのMFA」ルールを使用して、すべてのユーザー(管理者を含む)にMFAへの登録を要求できます。または、このルールを設定したままにしておくと、すべてのユーザー(管理者を含む)は、すべてのユーザーのMFAルールが評価されたときにMFAに登録する必要があります。
    • すべてのユーザーのMFA: ルールは優先度順に2番目です。この事前構成済ルールでは、すべてのユーザーがMFAに登録する必要があり、サインインするたびに追加のファクタを指定する必要があります。
      ノート

      現時点ですべてのユーザーにMFAを要求しない場合は、このルールをオプションにでき、ユーザーにはMFAに登録するオプションがあります。または、管理者のみがMFAに登録できるように、このルールを削除して管理者用のMFAを保持することもできます。
重要

保持するルールに関係なく、ルールから少なくとも1人の管理者を除外します。両方のルールを保持する場合は、両方のルールを変更します。サインオン・ルールからユーザーを除外する方法を学習するには、サインオン・ポリシーの作成を参照してください。

OCIコンソールのセキュリティ・ポリシー・サインオン・ポリシーを使用してMFAを設定するには、「OCIコンソールのセキュリティ・ポリシーを持つアイデンティティ・ドメイン」サインオン・ポリシーでベスト・プラクティスを参照してください。

追加のサインオン・ポリシー

サインオン・ポリシーを作成して、それらを特定のアプリケーションに関連付けることができます。ユーザーがこれらのアプリケーションのいずれかを使用してアイデンティティ・ドメインへのサインインを試みると、アイデンティティ・ドメインは、アプリケーションにサインオン・ポリシーが関連付けられているかどうかをチェックします。その場合、アイデンティティ・ドメインは、ポリシーに割り当てられたサインオン・ルールの基準を評価します。アプリケーションにサインオン・ポリシーがない場合は、デフォルトのサインオン・ポリシーが評価されます。

ポリシーのサインオン・ルールの優先度

1つのサインオン・ポリシーに複数のサインオン・ルールを定義できるため、アイデンティティ・ドメインは、ルールの評価順序を認識する必要があります。これを行うため、ルールの優先度を設定できます。

前述のデフォルト・サインオン・ポリシーの例のサインオン・ルールを使用して、最初に拒否されたネットワーク・ペリメータ・サインオン・ルールを評価し、次にUA Developers Groupサインオン・ルールを評価できます。ユーザーが拒否されたネットワーク・ペリメーターのサインオン・ルールの基準を満たしている場合(つまり、アイデンティティ・ドメインへのサインイン試行に使用したIPアドレスは、ネットワーク・ペリメーターで定義したIP範囲内にある場合)、ユーザーは、アイデンティティ・ドメインによって保護されたリソースにアクセスできなくなります。ユーザーがこのルールの基準と一致しない場合、次に高い優先度を持つルールが評価されます。この例では、これはUA Developers Groupのルールになります。ユーザーがUA Developersグループのメンバーである場合、アイデンティティ・ドメインにサインインするための追加要素を要求されます。ユーザーがUA Developers Groupのメンバーでない場合、次に高い優先度を持つルールが評価されます。この例では、これはデフォルトのサインオン・ルールです。このルールは、デフォルトですべてのユーザーにアイデンティティ・ドメインへのサインインを許可するため、ユーザーは2番目の要素を要求されずにサインインできます。

必要なポリシーまたはロール

必須のポリシーまたはロール。

サインオン・ポリシーを管理するには、次のアクセス権付与のいずれかが必要です:
  • 管理者グループのメンバーにします
  • アイデンティティ・ドメイン管理者、セキュリティ管理者またはアプリケーション管理者ロールが付与されます。
  • manage identity-domainsが付与されているグループのメンバーにします

ポリシーとロールについてさらに理解するには、管理者グループ、ポリシーおよび管理者ロール管理者ロールの理解およびIAMポリシーの概要を参照してください。