セキュリティプロファイルの仕組み
セキュリティプロファイルの考え方
アクセスを許可する条件、アクセス可能なサービス、認証方式の組み合わせでセキュリティプロファイルを作成します。作成したプロファイルはユーザーに対して適用することで、アクセス制限を行うことができるようになります。また、セキュリティプロファイルの中で複数ルールを使い分けることで社内や社外からアクセスした場合にアクセスできるサービスを決めることができるようになります。
例)
- 社内からのアクセスはすべてのサービスにアクセスできる
- 社外からのアクセスは登録したPC端末のみGoogle Workspace,Salesforceへアクセスできる
- 社外から管理者サイトにアクセスしたい場合、証クライアント証明書をインストールしたPC端末からアクセスし、かつパスワード以外の認証要素を用いることでアクセスできる
SSOアクセス制限の考え方
アクセス制限ルールとは
アクセスを許可する条件とその順序を指します。ルールは複数追加することができ、各ルールの左上には、アクセス可否を判定する順序の数字が表示されています。
ルール同士はOR条件となります。
サインオン時、ルール1から条件をクリアしているかチェックされ、クリアしている場合はそれ以降のルールをチェックしません。
クリアしていない場合は次のルールをチェックします。
アクセス条件とは
アクセスを許可する条件の詳細を指します。1ルールの中に、複数のアクセス条件を指定する、アクセスできるサービスを制限する設定が可能です。
1ルールの中のアクセス種別はAND条件となります。
1ルールの中のすべてのアクセス種別をクリアしないと、ルールをクリアしたことになりません。
認証方式とは
サインオン時に、ユーザー本人であることを判定するための条件を指します。デフォルトでは「パスワード」が設定されています。
サインオン画面でユーザーIDを入力後、まずは、ユーザーIDが入力された環境はどのルールをクリアしているかチェックします。
クリアしているルールがあった場合、そのルールで指定されている認証要素を要求します(「パスワード」であれば、パスワード入力を要求する)。