アクセス制限ルールの設定例
「アクセス元」「アクセス先」「認証要素」を設定・組合せることで、お客様のご要件に応じたセキュリティ設定が可能です。
まずは セキュリティプロファイルの仕組み をご覧いただいてから、設定例として本記事をご参照ください。
設定例 A:社内からのアクセスに限定する
ルール1 | 社内ネットワークからアクセスすることを【社内からのアクセス】と定義します。アクセス元「IPアドレス」に社内ネットワークのグローバル IP を指定することでアクセスを許可します。 |
「IPアドレス」は一番ご利用数が多い制限方法です。IPアドレスを直接入力する、もしくは事前に作成した IPリストを指定することが出来ます。多数のセキュリティプロファイルで同じ IPアドレスを指定するようなケースでは、IPリストの活用をお勧めします。
設定例 B:社外からのアクセスはデバイス証明書がインストール済みの PC に限定する
ルール1 | 社内ネットワークからアクセスすることを【社内からのアクセス】と定義します。アクセス元「IPアドレス」に社内ネットワークのグローバル IP、または IP リストを指定することでアクセスを許可します。 | |
ルール2 | ルール1の条件をクリアしなかったアクセス(社内ネットワークからではないアクセス)を【社外からのアクセス】と定義します。 アクセス元「端末」に "PC(証明書社用端末)" を指定し、デバイス証明書がインストールされている PC からのアクセスを許可します。スマートデバイスについては「すべての端末を拒否する」を指定します。 |
「端末」ではデバイス証明書による制限方法と、ブラウザの Cookie を元にする制限方法があります。デバイス証明書のご利用を推奨しておりますが、ご利用シーンに応じて使い分けていただけます。詳しくは CloudGate UNO が行う端末制限 をご覧下さい。
設定例 C:デバイス証明書に対応していないアプリ向けに複数の端末制限を使い分ける
ルール1 | アクセス元「IPアドレス」に社内ネットワークのグローバル IP、または IP リストを指定することでアクセスを許可します。 | |
ルール2 | アクセス元「端末」に"スマートデバイス(ブラウザー個人端末)"を指定します。「登録可能端末数」は証明書を利用できないアプリの数だけ指定します。PC からのアクセスはデバイス証明書がインストールされている端末のみ許可するため、このルールでは「すべての端末を拒否する」を指定します。 | |
ルール3 |
アクセス元「端末」に "PC(証明書社用端末)" を指定し、デバイス証明書がインストールされている PC からのアクセスを許可します。スマートデバイスも同様に、デバイス証明書がインストールされているデバイスからのアクセスを許可します。 |
デバイス証明書を用いる端末制限と、ブラウザの Cookie を用いる端末制限など複数の端末制限を1つのプロファイル内で併用する場合は以下の2点に留意する必要があります。 詳しくは 「社用端末(証明書)」を含むセキュリティプロファイル作成時の確認事項 をご覧下さい。
1. デバイス証明書を用いるルールを最下段に配置する必要があります。
2. ユーザーは最初に個人端末の登録をすべて済ませてから証明書を利用する端末でサインオンする必要があります。
1. デバイス証明書を用いるルールを最下段に配置する必要があります。
2. ユーザーは最初に個人端末の登録をすべて済ませてから証明書を利用する端末でサインオンする必要があります。
設定例 D:アクセスするサービスによって社内・社外での利用許可や認証レベルを変更する
ルール1 |
設定する箇所は3箇所あります。以下のように設定することにより社内での利用時、追加したサービスへのアクセスのみパスワードレス認証が要求されます。
|
ルール2 |
ルール1で指定したサービス以外のサービスプロバイダーは、社内からのアクセス時パスワードでの認証を要求するよう設定します。
#新 #旧 |
ルール3 |
社外からのアクセスは、デバイス証明書がインストールされている端末から、パスワードレス認証を行なった場合のみアクセスを許可するよう設定します。
|
上記ルール1のようにパスワードレス認証または多要素認証を利用するアクセス先サービスにSalesforceを含めることによって、Salesforceが要請するMFA必須化に対応できます。
上記ルール2のように「アクセス元:パスワードレス認証を指定したルールと同一」「アクセス先:サービスプロバイダー すべて」「認証方式:パスワードまたはパスキー認証」を設定したルールをパスワードレス認証を指定したルールより上位に配置すると、パスワードレス認証したいサービス含め、すべてパスワードを利用した認証となります。