セキュリティープロファイルの仕組み
セキュリティープロファイルを作成する 前に、セキュリティープロファイルの仕組みについて、SSOアクセス制限を重点的にご紹介します。
セキュリティープロファイルの考え方
1ユーザーに適用できるセキュリティープロファイルは1つです。また、ユーザーに対して必ずセキュリティープロファイルを適用する必要があります。
例)
全社員:ブラウザからのアクセスを社内のみに限定する(⇒ IPアドレス制限)
ユーザーA, B:外出が多いので、持ち出しPCを社外からでもアクセスを可能にする(⇒ 端末制限)
ユーザーA:社内業務にOutlookを使うので、社内からのみOutlook利用を可能にする(⇒ POP/IMAP制限)
許可する内容毎にセキュリティープロファイルを作成し、1ユーザーに1プロファイルを適用します。
SSOアクセス制限の考え方
アクセス制限ルールとは
アクセスを許可する条件とその順序を指します。ルールは複数追加することができ、各ルールの左上には、アクセス可否を判定する順序の数字が表示されています。
ルール同士はOR条件となります。
サインオン時、ルール1から条件をクリアしているかチェックされ、クリアしている場合はそれ以降のルールをチェックしません。
クリアしていない場合は次のルールをチェックします。
アクセス種別とは
アクセスを許可する条件の詳細を指します。1ルールの中に、複数の アクセス種別 を指定できます。
1ルールの中のアクセス種別は、AND条件となります。
1ルールの中のすべてのアクセス種別をクリアしないと、ルールをクリアしたことになりません。
認証要素とは
サインオン時に、ユーザー本人であることを判定するための条件を指します。
デフォルトでは第1認証要素として「パスワード」が設定されており、選択できる 認証要素 の組合せは、お客様のご利用状況によって異なります。
サインオン画面でユーザーIDを入力後、まずは、ユーザーIDが入力された環境はどのルールをクリアしているかチェックします。
クリアしているルールがあった場合、そのルールで指定されている認証要素を要求します(「パスワード」であれば、パスワード入力を要求する)。