Oracle Cloud Infrastructureドキュメント

サインオン・ポリシーの管理

このトピックでは、アイデンティティ・ドメインのサインオン・ポリシーを作成、アクティブ化、更新、非アクティブ化および削除する方法について説明します。

サインオン・ポリシーおよびサインオン・ルールについて

サインオン・ポリシーは、サインオン・ルールを使用して、ユーザーがアイデンティティ・ドメインまたはアプリケーションにサインインできるようにするかどうかを決定する基準を定義します。

すべてのアイデンティティ・ドメインには、デフォルトのサインオン・ポリシーが付属しています。アイデンティティ・ドメインがOCIコンソールのセキュリティ・ポリシー・サインオン・ポリシーで事前構成されている場合は、そのポリシーを使用することをお薦めします。必要に応じて、他のサインオン・ポリシーを追加できます。サインオン・ポリシーのサインオン・ルールに優先順位を付け、ルールを評価する順序を指定します。

デフォルトのサインオン・ポリシー

すべてのアイデンティティ・ドメインには、デフォルト・サインオン・ルールを含むアクティブなデフォルト・サインオン・ポリシーが含まれています。

デフォルトでは、このデフォルト・サインオン・ルールにより、すべてのユーザーがユーザー名とパスワードを使用してアイデンティティ・ドメインにサインインできます。他のサインオン・ルールを追加して、このポリシーに積み重ねることができます。これらのルールを追加することで、一部のユーザーがアイデンティティ・ドメインにサインインすることを防止できます。または、サインインを許可しますが、アイデンティティ・ドメインによって保護されているリソース(Oracle Cloud Infrastructureコンソールなど)にアクセスするための追加の要素を要求することもできます。

たとえば、「デフォルトのサインオン・ポリシー」に2つのサインオン・ルールを作成できます。最初のルールは、「拒否されたネットワーク・ペリメータ」という名前で定義したネットワーク・ペリメータの範囲内のIPアドレスを使用している場合、すべてのユーザーがアイデンティティ・ドメインにサインインすることを防止します。2番目のルールは、特定のグループに属するユーザー(UA開発者グループなど)に、UA開発者グループという名前の2ステップ検証プロセスの一環として、2番目の要素を要求します。他のすべてのユーザーは、2番目の要素を要求されずにサインインできます。

重要

デフォルトのサインオン・ルールでは、すべてのユーザーのアクセスを拒否するように設定しないでください。アイデンティティ・ドメインにサインインできるように定義された他のルールの基準を満たさない場合、ユーザーは、アイデンティティ・ドメインで保護されたリソースにアクセスできなくなります。また、このサインオン・ルールを最後に評価するようにアイデンティティ・ドメインを構成してください。このルールは、デフォルトですべてのユーザーにアイデンティティ・ドメインへのサインインを許可するためです。

「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシー

OCIコンソールのセキュリティ・ポリシーのサインオン・ポリシーは、デフォルトでアクティブ化され、Oracleセキュリティのベスト・プラクティスで事前構成されています。

  • このサインオン・ポリシーに必要な次の要因がすでに有効になっています: モバイル・アプリケーション・パスコードモバイル・アプリケーション通知バイパス・コードおよびFast ID Online (FIDO)オーセンティケータ
  • OCIコンソール・アプリケーションがポリシーに追加されました。
  • サインオン・ポリシーには、2つのアクティブなサインオン・ルールが付属しています。

    OCIコンソールのサインオン・ポリシーのセキュリティ・ポリシーのルール

    • 管理者のMFA: ルールは最初が優先順です。この事前構成済ルールでは、管理者グループのすべてのユーザーおよび管理者ロールを持つすべてのユーザーがMFAに登録する必要があり、サインインするたびに追加ファクタを指定する必要があります。
      ノート

      このルールを削除し、「すべてのユーザーに対するMFA」ルールを使用して、すべてのユーザー(管理者を含む)にMFAへの登録を要求できます。または、このルールをそのままにしておくと、すべてのユーザーのMFAルールが評価されるときに、すべてのユーザー(管理者を含む)がMFAに登録する必要があります。
    • すべてのユーザーのMFA: ルールは優先順位の2番目です。この事前構成済ルールでは、すべてのユーザーがMFAに登録する必要があり、サインインするたびに追加のファクタを指定する必要があります。
      ノート

      現時点ですべてのユーザーに対してMFAを必要としない場合は、このルールをオプションにできます。ユーザーはMFAに登録できます。または、このルールを削除し、管理者のみがMFAに登録できるように管理者のMFAを保持できます。
重要

保持することを決定したルールにかかわらず、少なくとも1人の管理者をルールから除外します。両方のルールを保持する場合は、両方のルールを変更します。サインオン・ルールからユーザーを除外する方法を学習するには、サインオン・ポリシーの追加を参照してください。

OCIコンソールのセキュリティ・ポリシー・サインオン・ポリシーを使用してMFAを設定するには、「OCIコンソールのセキュリティ・ポリシー」サインオン・ポリシーのあるアイデンティティ・ドメインのベスト・プラクティスを参照してください。

その他のサインオン・ポリシー

サインオン・ポリシーを作成し、特定のアプリケーションに関連付けることができます。ユーザーがこれらのアプリケーションのいずれかを使用してアイデンティティ・ドメインへのサインインを試みると、アイデンティティ・ドメインは、アプリケーションにサインオン・ポリシーが関連付けられているかどうかをチェックします。その場合、アイデンティティ・ドメインは、ポリシーに割り当てられたサインオン・ルールの基準を評価します。アプリケーションにサインオン・ポリシーがない場合は、デフォルトのサインオン・ポリシーが評価されます。

ポリシーのサインオン・ルールの優先度

1つのサインオン・ポリシーに複数のサインオン・ルールを定義できるため、アイデンティティ・ドメインは、ルールの評価順序を認識する必要があります。これを行うため、ルールの優先度を設定できます。

前述のデフォルトのサインオン・ポリシーの例のサインオン・ルールを使用して、拒否ネットワーク・ペリメータのサインオン・ルールを最初に評価し、UA Developers Groupのサインオン・ルールを次に評価できます。ユーザーが「拒否されたネットワーク・ペリメータ」サインオン・ルールの基準を満たす場合(つまり、アイデンティティ・ドメインへのサインイン試行に使用されたIPアドレスがネットワーク・ペリメータで定義したIP範囲内にある場合)は、アイデンティティ・ドメインで保護されたリソースにアクセスできなくなります。ユーザーがこのルールの基準と一致しない場合、次に高い優先度を持つルールが評価されます。この例では、これはUA Developers Groupルールです。ユーザーがUA開発者グループのメンバーである場合は、アイデンティティ・ドメインにサインインするための追加要素を要求されます。ユーザーがUA Developers Groupのメンバーではない場合、次に高い優先度を持つルールが評価されます。この例では、これはデフォルトのサインオン・ルールです。このルールは、デフォルトですべてのユーザーにアイデンティティ・ドメインへのサインインを許可するため、ユーザーは2番目の要素を要求されずにサインインできます。

必要なポリシーまたはロール

必要なポリシーまたはロール

サインオン・ポリシーを管理するには、次のアクセス権付与のいずれかが必要です:
  • 管理者グループのメンバーにします
  • アイデンティティ・ドメイン管理者、セキュリティ管理者またはアプリケーション管理者ロールが付与されます。
  • manage identity-domainsが付与されているグループのメンバーにします

ポリシーとロールをさらに理解するには、管理者グループ、ポリシーおよび管理者ロール管理者ロールの理解およびポリシーの理解を参照してください。