サインオン・ポリシーの作成
IAMのアイデンティティ・ドメインにサインオン・ポリシーを追加します。
このタスクでは、非アクティブ状態のサインオン・ポリシーを追加します。このタスクを完了したら、ポリシーをアクティブ化して、アイデンティティ・ドメインでの適用を開始する必要があります。
-
ユーザーの認証に使用するアイデンティティ・プロバイダ
-
ユーザーがメンバーであるグループ
-
ユーザーがアイデンティティ・ドメイン管理者であるかどうか
-
ユーザーを除外するかどうか
-
ユーザーがアイデンティティ・ドメインへのサインインに使用しているIPアドレス
-
ユーザーが(認証目的で)アイデンティティ・ドメインに再度サインインすることを強制されるか、次回アイデンティティ・ドメインにサインインしたときに認証されるか
-
ユーザーにアイデンティティ・ドメインにサインインする別の要素を要求するかどうか
サインオン・ポリシーを追加するには、次のステップを実行します。
- ナビゲーション・メニューを開き、「アイデンティティとセキュリティ」をクリックします。「アイデンティティ」で、「ドメイン」をクリックします。
- 作業するアイデンティティ・ドメインの名前をクリックします。必要なドメインを見つけるには、コンパートメントの変更が必要になる場合があります。
- 「セキュリティ」をクリックし、「サインオン・ポリシー」をクリックします。
- 「サインオン・ポリシーの作成」をクリックします。
- ポリシーの名前とオプションの説明を入力します。機密情報の入力は避けてください。
-
「ポリシーの追加」をクリックします。
サインオン・ポリシーは、非アクティブな状態で保存されます。ポリシーの作成が終了したら、それを使用するポリシーをアクティブ化する必要があります。
- 「サインオン・ルールの追加」ページで、「サインオン・ルールの追加」をクリックします。
- サインオン・ルールの名前を追加します。機密情報を入力しないでください。
-
「条件」で、次の情報を指定します:
- アイデンティティ・プロバイダの認証(オプション): このルールによって評価されるユーザー・アカウントの認証に使用されるすべてのアイデンティティ・プロバイダを入力または選択します。これを空のままにすると、その他の条件が認証に使用されます。
- グループ・メンバーシップ: このルールの基準を満たすためにユーザーがメンバーになる必要があるグループを入力または選択します。グループの検索を開始するには、3文字以上入力する必要があります。
- 管理者: このルールの基準を満たすためにユーザーをアイデンティティ・ドメインの管理者ロールに割り当てる必要がある場合は、このチェック・ボックスを選択します。
-
サインイン状態を保持: ユーザーに有効な「サインイン状態を保持」が存在する場合にのみルールを適用するには、このオプションを選択します。
この条件を使用するには、「サインイン状態を保持」を有効にする必要があります。セッション設定の変更を参照してください。
サインオン・ポリシーは、「サインイン状態を保持」セッションをオーバーライドします。つまり、ユーザーが「サインイン状態を保持」を使用してサインインしていても、セッションが期限切れになった後、ポリシーで再認証またはマルチファクタ認証(MFA)が必要とされている場合、ユーザーは再認証するかMFAを提供するよう要求されます。
- ユーザーの除外: ルールから除外するユーザーを入力または選択します。ユーザーの検索を開始するには、3文字以上入力する必要があります。 重要
各ポリシーから1人のアイデンティティ・ドメイン管理者を除外してください。これにより、問題が発生した場合、少なくとも1人の管理者が常にアイデンティティ・ドメインにアクセスできます。 - クライアントIPアドレスによるフィルタ: 次のいずれかのオプションを選択します:
-
任意の場所: ユーザーは、任意のIPアドレスを使用してアイデンティティ・ドメインにサインインできます。
-
次のネットワーク・ペリメータに制限: ユーザーは、定義されたネットワーク・ペリメータに含まれているIPアドレスのみを使用してアイデンティティ・ドメインにサインインできます。「ネットワーク・ペリメータ」テキスト・ボックスで、定義したネットワーク・ペリメータを入力または選択します。詳細は、ネットワーク・ペリメータの作成を参照してください。
-
-
「アクション」で、ユーザー・アカウントがこのルールの基準を満たす場合に、ユーザーにコンソールへのアクセスを許可するかどうかを選択します。
「アクセスの拒否」を選択した場合は、次のステップに進みます。
「アクセスの許可」を選択した場合は、次の追加オプションの値を入力します。
- 再認証のプロンプト: 既存のIAMドメイン・セッションがある場合でも、割り当てられたアプリケーションにアクセスするための資格証明をユーザーに再入力させるには、このチェック・ボックスを選択します。
- このオプションを選択すると、サインオン・ポリシーに割り当てられたアプリケーションのシングル・サインオンが防止されます。たとえば、認証されたユーザーは新しいアプリケーションにサインオンする必要があります。
- 選択されておらず、ユーザーが以前に認証されている場合、ユーザーは資格証明を入力せずに既存のシングル・サインオン・セッションを使用してアプリケーションにアクセスできます
- 追加ファクタの要求: ユーザーにアイデンティティ・ドメインにサインインするための追加ファクタを要求する場合は、このチェック・ボックスを選択します。
このチェック・ボックスを選択した場合は、ユーザーを多要素認証(MFA)に登録する必要があるかどうか、およびこの追加要素を使用してサインインする頻度を指定する必要があります。
- 任意のファクタまたは指定されたファクタのみ: 次のいずれかのオプションを選択します。
- 任意のファクタ: MFAテナント・レベル設定で有効なファクタを登録および検証するようユーザーに求めます。
- 指定されたファクタ: ユーザーに対して、MFAテナント・レベル設定で有効になっているファクタのサブセットの登録および検証を求めるプロンプトのみ。「指定されたファクタ」を選択した後、このルールで適用する必要があるファクタを選択します。
- 頻度: ユーザーが2番目のファクタを要求する頻度を指定します:
- セッションまたは信頼できるデバイスごとに1回: 認可デバイスからユーザーが開いたセッションごとに、ユーザー名とパスワードの両方、および2番目のファクタを使用する必要があります。
- 毎回:ユーザーが信頼できるデバイスからサインインするたびに、ユーザー名とパスワードと2番目の要素を使用する必要があります。
- カスタム間隔: ユーザーがサインインするために2番目の要素を提供する必要がある頻度を指定します。たとえば、ユーザーがこの追加要素を2週間ごとに使用する場合は、「数値」で14をクリックし、「間隔」で「日」を選択します。MFAを構成した場合、この数は、MFA設定に従ってデバイスを信頼できる日数以下にする必要があります。詳細は、マルチファクタ認証の管理を参照してください。
- 登録: 次のオプションのいずれかを選択します。重要
サインオン・ポリシーのテストが完了するまで、「登録」を「オプション」に設定します。- 必須。ユーザーはMFAに登録する必要があります。
- 「オプション」を選択すると、ユーザーはMFAへの登録の登録をスキップできます。ユーザーがユーザー名とパスワードを入力すると、インライン登録設定プロセスが表示されますが、「スキップ」をクリックできます。ユーザーは、後でマイ・プロファイルの「セキュリティ」設定の「2ステップ検証」設定からMFAを有効にできます。ユーザーは、次にサインインするときに要素を設定するよう求められません。「登録」を「必須」に設定し、後で「オプション」に変更した場合、変更の影響を受けるのは新規ユーザーのみです。MFAにすでに登録されているユーザーにはインライン登録プロセスが表示されず、サインイン時に「スキップ」をクリックできなくなります
- 再認証のプロンプト: 既存のIAMドメイン・セッションがある場合でも、割り当てられたアプリケーションにアクセスするための資格証明をユーザーに再入力させるには、このチェック・ボックスを選択します。
- 「サインオン・ルールの追加」をクリックします。
- (オプション)「サインオン・ルールの追加」ページで、「サインオン・ルールの追加」を再度クリックして、このポリシーに別のサインオン・ルールを追加します。または、「次」をクリックします。
ノート
このポリシーに複数のサインオン・ルールを追加した場合は、それらの評価順序を変更できます。「優先度の編集」をクリックし、矢印を使用してルールの順序を変更します。 - 「アプリケーションの追加」ページで、「アプリケーションの追加」をクリックして、このポリシーにアプリケーションを追加します。
-
「アプリケーションの追加」パネルで、ポリシーに追加する各アプリケーションのチェック・ボックスを選択します。次に、「アプリケーションの追加」をクリックします。
ノート
アプリケーションを追加できるのは、1つのサインオン・ポリシーのみです。アプリケーションがどのサインオン・ポリシーにも明示的に割り当てられていない場合、デフォルトのサインオン・ポリシーがアプリケーションに適用されます。
- 準備ができたら、「閉じる」をクリックします。サインオン・ポリシーの詳細ページが表示されます。