Oracle Cloud Infrastructureドキュメント

サインオン・ポリシーへのルールの追加

IAMのアイデンティティ・ドメイン・サインオン・ポリシーにルールを追加します。

  1. サインオン・ポリシー・リスト・ページで、ルールをポリシーに追加するサインオン・ポリシーを選択します。リスト・ページの検索に関するヘルプが必要な場合は、サインオン・ポリシーのリストを参照してください。
  2. サインオン・ポリシー詳細ページで、「サインオン・ルールの追加」を選択します。
  3. 次のパラメータを設定します:
    • ルールの名前: サインオン・ルールの名前を入力します。
    • アイデンティティ・プロバイダの認証(オプション): このルールによって評価されたユーザー・アカウントの認証に使用するアイデンティティ・プロバイダをすべて入力または選択します。これを空のままにすると、その他の条件が認証に使用されます。
    • グループ・メンバーシップ: このルールの基準を満たすためにユーザーがメンバーになる必要があるグループを1つ入力または選択します。グループの検索を開始するには、3文字以上入力する必要があります。
    • 管理者: このルールの基準を満たすためにユーザーをアイデンティティ・ドメインの管理者ロールに割り当てる必要がある場合、このチェックボックスを選択します。
    • ユーザーの除外: ルールから除外するユーザーを入力または選択してください。ユーザーの検索を始めるには、3文字以上入力する必要があります。
    • クライアントIPアドレスによるフィルタ: このフィールドには、「任意の場所」および「次のネットワーク・ペリメータに制限します」という2つのオプションがあります。

      • 「任意の場所」を選択した場合、ユーザーは、任意のIPアドレスを使用してアイデンティティ・ドメインにサインインできます。

      • 「次のネットワーク・ペリメータに制限します」を選択した場合、「ネットワーク・ペリメータ」テキスト・ボックスが表示されます。このテキスト・ボックスで、定義したネットワーク・ペリメータを入力または選択します。詳細は、ネットワーク・ペリメータの作成を参照してください。ユーザーは、定義されたネットワーク・ペリメータに含まれているIPアドレスのみを使用して、アイデンティティ・ドメインにサインインできます。

    • アクセスの許可またはアクセスの拒否: ユーザー・アカウントがこのルールの基準を満たす場合にコンソールへのアクセスをユーザーに許可するかどうかを選択します。「アクセスの許可」を選択すると、より多くのオプションが表示されます。
    • 再認証のプロンプト: ユーザーに再度アイデンティティ・ドメインへのサインインを強制する場合はこのチェック・ボックスを選択します。選択しない場合、ユーザーは、次回アイデンティティ・ドメインにサインインしたときに認証されます。
    • 追加ファクタを要求: このチェック・ボックスを選択すると、ユーザーにアイデンティティ・ドメインへの別のファクタのサインインを求めるプロンプトが表示されます。このチェックボックスを選択する場合、ユーザーが多要素認証(MFA)に登録する必要があるかどうかと、この追加ファクタをサインインに使用する頻度を指定する必要があります。「任意のファクタ」を選択すると、ユーザーは、MFAテナント・レベル設定で有効な任意のファクタの登録および検証を要求します。「指定されたファクタのみ」を選択すると、ユーザーは、MFAテナント・レベル設定で有効なファクタのサブセットの登録および検証を要求されます。「指定されたファクタのみ」を選択すると、このルールによって適用する必要があるファクタを選択できます。
    • 頻度:

      • 「セッションごと、または信頼できるデバイスごとに1回」を選択すると、ユーザーは、認可デバイスから開いたセッションごとに、ユーザー名とパスワードの両方に加えて、2番目の要素を使用する必要があります。

      • 「毎回」を選択すると、ユーザーは、信頼できるデバイスからサインインするたびに、ユーザー名とパスワードに加えて、2番目の要素を使用する必要があります。

      • 「カスタム間隔」を選択する場合、ユーザーがサインインするために2番目の要素を提供する必要のある頻度を指定します。たとえば、ユーザーがこの追加ファクタを2週間ごとに使用する場合は、「数値」を選択し、テキスト・フィールドに14と入力して、「間隔」ドロップダウン・メニューを選択して「日」を選択します。マルチファクタ認証(MFA)を構成した場合、この数値は、MFA設定に従ってデバイスを信頼できる日数以下にする必要があります。詳細は、マルチファクト認証の管理に関する項を参照してください。

    • エンロール: このメニューには、「必須」「オプション」の2つのオプションが含まれます。

      • 「必須」を選択して、ユーザーにMFAへの登録を強制します。

      • 「オプション」を選択すると、MFAへの登録がスキップされます。ユーザー名とパスワードの入力後、ユーザーにはインライン登録設定プロセスが表示されますが、「スキップ」を選択できます。ユーザーは、後でマイ・プロファイルの「セキュリティ」設定の「2ステップ検証」設定からMFAを有効にすることができます。ユーザーは、次回サインインしたときに要素を設定するよう求められません。

        ノート: 「登録」「必須」に設定し、後で「オプション」に変更した場合、その変更内容は新規ユーザーにのみ影響します。MFAにすでに登録されているユーザーにはインライン登録プロセスが表示されず、サインイン時に「スキップ」を選択できなくなります。

  4. 「サインオン・ルールの追加」を選択します。
    ノート

    このポリシーに複数のサインオン・ルールを追加した場合は、それらの評価順序を変更できます。サインオン・ポリシーのルール優先度の変更を参照してください。