セッションアクセスの IDP 属性の構成

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む2読むのに数分

    • セキュリティアサーションマークアップ言語 (SAML) 応答から作成された ID プロバイダー (IDP) 属性を使用して、インスタンスへのユーザーセッションアクセスを削除または制限します。

    始める前に

    必要なロール:security_admin

    [セッションアクセスの有効化 (Enable Session Access property)] を有効にします。

    注:
    セッションアクセスロール構成を使用するには、ロールを security_admin に昇格させる必要があります。

    セッションアクセスは、構成を実行するときに作成されたポリシーと選択したアクションによって制御できます。シナリオの一部は次のとおりです。

    • ポリシーが true で、ロールアクションが IDP 属性の入力と条件とともに [ロールを削除 ] に設定されている場合、ユーザーがインスタンスにログインしようとすると、選択したロールとそれに関連付けられた子ロールが削除されます。
    • ポリシーが true で、ロールアクションが IDP 属性の入力と条件とともに [ロールに制限 ] に設定されている場合、インスタンスにログインしようとすると、選択したロールとそれに関連付けられた子ロールのみがユーザーにアサインされます。

    次の手順は、SAML 応答から IDP 属性をポリシー入力に設定してセッションアクセスを制御する方法を示しています。

    手順

    1. 移動先 すべて > セッションのアクセス > セッションアクセスロール構成.
    2. [セッションアクセスロールの構成 (Session Access Role Configurations)] ページで、[新規] を選択します。
    3. ユーザーのロールを削除するには、フォームのフィールドに入力します。
      • 名前
      • 説明
      • ポリシー
      • アクション
      • ロールリスト
      • グループリスト
      1. [ロールを削除] を選択して、ユーザーのロールを削除します。例:itil
      2. ロールリストから [itil] ロールを選択します。
      3. [ポリシー] を選択します。適応認証ポリシーの作成を使用してさまざまなフィルター基準でポリシーを作成する方法の詳細については、「フィルター基準」を参照してください。
      4. [アクション] で [ロールを削除] を選択します。ポリシーが true で、ロールアクションが [ロールを削除] に設定されている場合、ユーザーがインスタンスにログインしようとすると、選択したロールがそのユーザーから削除されます。
      5. ポリシー入力で、ポリシーの入力と条件を作成します。例:
        • ポリシー入力:Okta (IDP) からのリスクスコア属性
        • ポリシー条件:条件としての 60 ~ 80 のリスクスコア
        ID 属性のリスクスコア

        この構成に基づいて、Okta (IDP) からのリスクスコア属性値が 80 を超えると、ユーザーはインスタンスに削除されたロール (従業員) とその子ロールで認証されず、割り当てられた他のロールでのみ認証されます。リスクスコアが 60 ~ 80 の場合、ユーザーはすべてのロールでインスタンスに認証されます。

        ポリシーと条件で認証後コンテキストのポリシーを作成する方法の詳細については、「認証後コンテキスト」を参照してください。

        注:
        [ セッションアクセスを有効にする] プロパティが無効の場合、セッションアクセスの構成はユーザーのロールを制限または削除しません。
      6. [送信] を選択します。