アクセス・ポリシーの作成
アプリケーションに適用するアクセスポリシーとルールを設定します。
手順
- [セキュリティ ] > [アクセスポリシー] を選択します。
- 「」をクリックします。
- ポリシー名を入力します。
- ポリシー・タイプを選択します。
- 連携されたサインオン・ポリシー
- これらのポリシーは、ユーザー認証の実行後に評価されるルールを設定します。 連携されたサインオン・ポリシーでは、最初の連絡先ルールは使用できません。
- ネイティブ Web アプリケーションのポリシー
- Webネイティブアプリポリシーには、認証の各段階に対応した、認証前および認証後のルールが含まれています。
ネイティブ Web アプリケーション・ポリシーの第 1 要素 (認証前) ルールには、チャレンジまたはブロックのいずれかの異なる結果アクションがあります。 実際のユーザーが不明であるため、ルールの属性は限定されます (IP やロケーションなど)。 ネイティブ Web アプリケーション・ポリシーの第 2 要素ルールおよび認証後ルールは、使用可能な属性とアクションが、連携されたサインオン・ポリシー・ルールと同じです。
- ネイティブ・モバイル・アプリケーション・ポリシー
- モバイルネイティブアプリの方針には、認証の各段階に対応した、認証前および認証後のルールが定められています。
ネイティブ・モバイル・アプリケーション・ポリシーの第 1 要素ルール (認証前ルール) には、チャレンジまたはブロックという複数の結果アクションがあります。 実際のユーザーが不明であるため、ルールの属性は限定されます (OIDC/OAuth コンテキストやロケーション属性など)。 ネイティブ・モバイル・アプリケーション・ポリシーの第 2 要素ルールおよび認証後ルールは、使用可能な属性とアクションが、連携されたサインオン・ポリシー・ルールと同じです。
- ネイティブ・カスタム・アプリケーション・ポリシー
- ネイティブのカスタムアプリポリシーには、認証の各段階に対応した、認証前および認証後のルールが両方含まれています。 ただし、ネイティブの Web ポリシーおよびモバイル・ポリシーとは異なり、適応型アクセス・オプションは提供されません。
ネイティブ・カスタム・アプリケーション・ポリシーの第 1 要素ルール (認証前ルール) には、チャレンジまたはブロックという複数の結果アクションがあります。 実際のユーザーが不明であるため、ルールの属性は限定されます (OIDC/OAuth コンテキストやロケーション属性など)。 ネイティブ・カスタム・アプリケーション・ポリシーの第 2 要素ルールおよび認証後ルールは、使用可能な属性とアクションが、連携されたサインオン・ポリシー・ルールと同じです。
注:「 ネイティブカスタムアプリポリシー」 を選択した場合、Adaptive Accessは利用できません。
- 「ポリシーを作成 」をクリックします。ポリシーのドラフトが表示されます。 「 詳細 」パネルには、ID、作成日、作成者、最終更新日、およびバージョンが表示されます。
- (任意): アイコン
をクリックして、 基本設定を編集します。- ポリシー名を変更します。
- ポリシーに関する情報を提供する説明を追加します。
- 「保存」 をクリックします。
- ネイティブ・アプリケーション・ポリシーの場合は、最初の連絡先ルールを作成します。ルールに関する詳細については、 「ポリシールールの管理」 を参照してください。
- 「ルールを追加」 をクリックします。
- ルールの名前を指定します。
- 任意: 説明を追加してください。
- 「次へ」をクリックします。
- 条件タイプ、属性、演算子、および条件値を選択します。
- (任意): 「条件を追加 」をクリックして、ポリシールールに条件の種類、属性、演算子、および値をさらに追加します。
- 「次へ」をクリックします。
- 最初の対応方法として、「チャレンジ 」または「 ブロック」 のいずれかを選択してください。
- 「Challenge」 には、認証に使用するMFA方式を指定してください。
- 「ルールを追加」 をクリックします。追加するルールごとに、これらのステップを繰り返します。
- 適応型アクセスを使用可能にするかどうかを選択します。 Adaptive Access に関する詳細については、 「Adaptive Access の管理」 を参照してください。注:
- このオプションは、ネイティブ・カスタム・アプリケーション・ポリシーでは使用できません。
- FedRAMP アダプティブアクセスには対応していません。 したがって、このオプションは FedRAMP をご利用のお客様にはご利用いただけません。
- リスクのレベルごとに実行するアクションを選択します。 MFA アクションについては、テナントの認証要素の設定に基づいて、以下の方法から1つ以上を選択できます。
- 任意の使用可能なメソッド (デフォルト)
- E メール OTP
- FIDO2
- SMS OTP
- 時刻ベースの OTP
- IBM Verify
- 音声 OTP
- Duo Security
- カスタム・プロバイダー
注: ユーザーにとってより親しみやすい体験を提供するため、FIDOの代わりに「パスキー」という用語を使用しています。 - ユーザーに通知を送信するかどうかを選択します。
- 「保存」 をクリックします。
- 多要素再認証が必要かどうかを選択します。
- アイコンをクリックして 、再認証の設定を編集してください。
- [多要素による再認証を必須にする] チェックボックスを選択します。
- 認証の有効期間を選択します。 この期間を過ぎると、ユーザーは再び認証を行う必要があります。 デフォルトの設定は 8 時間です。
- 再認証を各ユーザーのデバイスに適用するかどうかを指定できます。
- 再認証の方式を選択します。MFA 方式については、利用可能な任意の方式を使用するように指定するか、テナントの認証要素の設定に基づいて、以下の方式から1つ以上を選択することができます。
- 任意の使用可能なメソッド (デフォルト)
- E メール OTP
- FIDO2
- SMS OTP
- 時刻ベースの OTP
- IBM Verify
- 音声 OTP
- Duo Security
- カスタム・プロバイダー
- 「保存」 をクリックします。
- アイコンをクリックして
- 外部連携を追加する。
- 「統合を追加」 をクリックします。
- 利用可能な連携機能の中から、リアルタイムアクセスポリシーのWebhookを1つ選択してください。
- (任意): [リアルタイム Webhook ] ページに移動し、リアルタイムアクセスポリシーを作成します。
- 「保存」 をクリックします。
「ポリシールール(SSO)」 で、選択したWebhookの条件を編集できます。 - 認証後のポリシールールを設定します。ルールに関する詳細については、 「ポリシールールの管理」 を参照してください。
- 「ルールを追加」 をクリックします。
- ルールの名前を指定します。
- (任意): ルールの説明を追加します。
- 「次へ」をクリックします。
- 条件タイプ、属性、演算子、および条件値を選択します。
- (任意): 「条件を追加 」をクリックして、ポリシールールに条件の種類、属性、演算子、および値をさらに追加します。
- 「次へ」をクリックします。
- ルール条件が満たされたときに実行するアクションを選択します。
- 詳細を確認するには、こちらへ移動してください
- ブロック (オーバーライド)
- MFA (オーバーライド)
- 許可 (オーバーライド)
- ブロック
- 常に MFA
- セッションごとに MFA
- 続行
- 許可
注: [続行] アクションは、アダプティブアクセスが有効になっている場合にのみ利用可能です。 - MFA オプションを選択した場合は、多要素認証方式を指定します。使用可能な任意の方式を使用するか、テナント認証要素構成に基づいて以下の方式を 1 つ以上選択します。
- 任意の使用可能なメソッド (デフォルト)
- Duo Security
- E メール OTP
- FIDO2
- SMS OTP
- 時刻ベースの OTP
- IBM Verify
- 音声 OTP
- 「ルールを追加」 をクリックします。追加するルールごとに、これらのステップを繰り返します。
- 「下書きを保存」 をクリックしてください。
- 「ポリシールール」セクションでは、 および
アイコンを使用して 
、ルールが評価される順序を指定できます。評価は降順に実行されます。 デフォルトのルールは、常に順序の最後尾になります。 - (任意): 下書きを編集して設定を確認したり、公開前に変更を加えたりしてください。「アクセスポリシーの編集」 を参照してください。
- 「公開」 をクリックします。