アクセスポリシーは、シングルサインオン(SSO)を利用するための認証方式を設定することができます。認証の方法として、以下3つの認証方式とIPアドレス制限を組み合わせて設定します。
- デバイス認証(証明書)
- パスワード認証
- アプリ認証
| アクセスポリシー設定はグループに対して設定します。ユーザー個別に設定することはできません。 |
初期設定のポリシーグループ
2つのアクセスポリシーグループがあらかじめ設定されています。
・「Default」グループ:全てのユーザーが割り当てられます
・「Admin」グループ:Admin管理者とユーザー管理者に割り当てられます
| グループ名 | ポリシー名 | ログイン種別(初期値) |
|---|---|---|
| Defaultグループ | Default Policy | 固定設定2 |
| Adminグループ | Admin Group Policy | カスタム
・デバイス証明書(有効) ・パスワード認証(有効) ・アプリ認証(無効) |
| ・「Admin Group Policy」と「Default Policy」は名前の変更はできません。 ・「Admin Group Policy」は、「Admin」グループのみ、「Default Policy」は、「Default」グループのみ割り当てることができます。他のグループを割り当てることはできません。 ・「Default Policy」の優先順位は常に最後になります。 |
アクセスポリシーは、Default Policy、Admin Group Policy を含めて最大50件まで登録することが可能です。
アクセスポリシー設定の項目説明
基本設定
設定項目の箇所にある(*)は入力/選択必須項目です。
| 項目 | 説明 |
|---|---|
| ポリシー名(*) | ポリシーの名前を設定します(100文字以内)。空白のままでは作成できません。重複することはできません。 |
| ログイン種別(*) | 「固定設定 1」「固定設定 2」「カスタム設定」の左側のチェックボックスをクリックします。
デバイス認証(証明書):有効
デバイス認証(証明書):有効
デバイス認証(証明書):有効 |
| ログイン設定(*) |
「有効」の場合、配布した証明書によるデバイス認証を使用し、サインインができます。
「有効」の場合、パスワード認証を使用し、サインインができます。
「有効」の場合、「Okta Verify」アプリを使用し、サインインができます。 デバイスに「Okta Verify」のインストールが必要です。初回アプリ認証時にセットアップするよう画面に表示されます。 パスワード認証が「有効」の設定時にアプリ認証も「有効」に設定ができます。
・アプリ認証を「有効」にする場合、アカウントの追加・削除または、設定の変更を有効にしてください。 ・アプリ認証を「有効」にする場合、カメラの機能を有効にしてください。 iOSの場合 |
| 許可IPアドレス | アクセスを許可するIPアドレスを入力します。許可IP設定は、パスワード認証時のみ適用されます。IPアドレスは半角数字で入力します。150文字以内で設定します。入力した場合には設定したIPアドレスからのみシングルサインオン(SSO)が可能です。 IPアドレスの入力例 192.168.1.1(個別でIPアドレスを設定) 192.168.1.10-192.168.1.100(IPアドレスの範囲を指定) 192.168..1.0/24(サブネットマスクを指定) |
| 「戻る」ボタン | 「アクセスポリシー設定」画面に遷移します。 |
| 「グループ割り当てへ」ボタン | 「グループへの割り当て」画面に遷移します。 |
グループへの割り当て
| 項目 | 説明 |
|---|---|
| チェックボックス | アクセスポリシーを選択するグループ名のチェックボックスをクリックして選択します。複数選択することが可能です。グループ名の左にあるチェックボックスをクリックすると全選択になります。最低1つグループを選択する必要があります。 |
| グループ名 | 設定したグループ名が表示されます。 |
| 「基本設定へ」ボタン | 「基本設定」画面に遷移します。 |
| 「設定確認へ」ボタン | 「設定確認」画面に遷移します。 |
設定確認
| 項目 | 説明 |
|---|---|
| ポリシー名(*) | 設定したポリシー名が表示されます。 |
| ログイン種別(*) | 設定した「固定設定 1」「固定設定 2」「カスタム設定」のいずれかを表示されます。 |
| ログイン設定(*) | 各認証方法で選択した「有効」または「無効」を表示されます。 |
| 許可IPアドレス | 設定したIPアドレスを表示します。何も設定していない場合は空白となります。 |
| アクセスポリシーを割り当てるグループ グループ名 |
設定したグループ名が表示されます。複数設定した場合は、,(カンマ区切り)で表示されます。 |
| 「グループへの割り当て」ボタン | 「グループへの割り当て」画面へ遷移します。 |
| 「登録する」ボタン | 設定内容を登録します。 |
アクセスポリシー設定を新規作成する
アクセスポリシーを新規作成します。(事前にグループの作成が必要です)
1.「ユーザー」をクリックし「セキュリティ」-「アクセスポリシー設定」をクリックします。
「アクセスポリシー設定」画面を表示されます。
2.「新規登録」ボタンをクリックします。
「アクセスポリシー設定」画面の「基本設定」が表示されます。
3.ポリシー名を入力します。
4.「ログイン種別」を選択します。
5.「ログイン設定」で認証方式を選択します。
| ログイン設定にある3つの認証方式を全て「無効」に設定する場合、割り当てたグループはサインインできなくなります。「Default Policy」、「Admin Group Policy」のログイン設定では少なくとも一つは有効とすることを推奨します。 |
6.アクセス許可できるIPアドレス設定を設定します。(任意)
7.「グループの割り当て」ボタンをクリックします。
「グループの割り当て」画面が表示されます。
8.作成しているアクセスポリシー設定を割り当てるグループ名の左側にあるチェックボックスをクリックします。
複数のグループに割り当てる事も可能です。
9.設定確認へボタンをクリックします。
「設定確認」画面が表示されます。
10.設定した内容を確認して、「登録する」ボタンをクリックします。
11.「アクセスポリシー設定を登録しました。」を表示します。
12.「戻る」ボタンをクリックします。
「アクセスポリシー設定」画面が表示されます。
アクセスポリシー設定を変更する
設定した内容やアクセスポリシーの優先度を登録後に変更することができます。
ユーザーが複数のグループに所属している場合、その中で優先順位が1番高いポリシーの設定内容が割り当てられます。
1.「ユーザー」をクリックし、「セキュリティ」-「アクセスポリシー設定」をクリックします。
「アクセスポリシー設定」画面が表示されます。
2.変更したいポリシー名をクリックします。
「アクセスポリシー詳細」画面が表示されます。
3.変更したい箇所(基本設定、またはアクセスポリシーを割り当てるグループ)の「変更」ボタンをクリックします。
- 基本設定を変更する場合
4.基本設定の右横にある「変更」ボタンをクリックします。
設定変更画面が表示されます。
5.設定を変えたい項目を変更します。
例:優先度を変更する場合は、設定したい優先度の番号を選択します。
| ・「Default Policy」は優先度が一番低い設定となります。 ・新規作成したポリシーの優先度の初期値は、「Default Policy」より1つ上の優先度が設定されます。 ・アクセスポリシー設定は、「Admin」グループのユーザーが変更することができます。 ・アクセスポリシーの変更内容は次回の認証から反映されます。 ・管理者ユーザーが割り当てられているポリシーのログイン設定は少なくとも1つ有効としてください。 |
6.「設定確認へ」ボタンをクリックします。
「変更内容の確認」画面が表示されます。
7.「登録する」ボタンをクリックします。
「アクセスポリシー詳細」画面が表示されますので、設定値が変更されていることを確認します。
8.「戻る」ボタンをクリックします。
「アクセスポリシー設定」画面が表示されます。
- アクセスポリシーを割り当てるグループを変更する場合
4.アクセスポリシーを割り当てるグループの横にある「変更」ボタンをクリックします。
「変更設定」画面が表示されます。
5.アクセスポリシーを割り当てたいグループ名の左側にあるチェックボックスをクリックして設定を変更します。
| 「Default」、「Admin」グループには割り当てられません。 |
6.「設定確認へ」ボタンをクリックします。
「変更内容の確認」画面が表示されます。
7.「登録する」ボタンをクリックします。
「アクセスポリシー詳細」画面が表示されますので、設定値が変更されていることを確認します。
8.「戻る」ボタンをクリックします。
「アクセスポリシー設定」画面が表示されます。
アクセスポリシー設定を削除する
1.「ユーザー」をクリックし、「セキュリティ」-「アクセスポリシー設定」をクリックします。
「アクセスポリシー設定」画面が表示されます。
2.削除したいアクセスポリシー名の左側にあるチェックボックスをクリックします。
| チェックボックスのクリックは複数選択ができません。複数のアクセスポリシーを削除する場合は、1つずつ削除するようにしてください。 |
3.「削除」ボタンをクリックします。
「アクセスポリシーの削除確認」画面が表示されます。
4.削除してもよい場合は、「削除する」ボタンをクリックします。
「キャンセル」ボタンをクリックすると、アクセスポリシー設定画面に戻ります。
5.「アクセスポリシーを削除しました。」と表示されるのを確認します。
| ・アクセスポリシーを削除しても、アクセスポリシーを割り当てているグループは削除されません。
・アクセスポリシー設定で初期で設定されている「Admin Group Policy」と「Default Policy」は削除できません。 ・管理者ユーザーが割り当てられているポリシーのログイン設定は少なくとも1つ有効としてください。 |