セッション検証コンテキスト
セッション検証コンテキストは、セッションまたは Cookie のハイジャックに対する追加の保護レイヤーとして使用します。
ポリシーフレームワークで 適応認証 セッション検証コンテキストを使用できます。フレームワークは、認証ポリシーを使用して認証要求を評価してから、ポリシーの入力と条件に基づいてアクセスを拒否または許可します。
セッション検証コンテキストポリシーは、認証後ポリシーと組み合わせて使用することができ、管理者はログインセッション中に特定またはすべてのユーザーに IP 制限を適用できます。
セッション検証コンテキスト機能は、設定した条件に基づいて IP アドレスを評価し、セッション内のインスタンスへのアクセスを許可します。セッション検証コンテキストの結果は次のとおりです。
- 拒否ポリシー: 既定のポリシーとして [拒否アクセス ポリシー] を選択すると、ユーザーは既定でセッションを続行できます。セッションは、アクセス拒否ポリシーで定義されているポリシー条件の 1 つが true と評価された場合にのみ終了します。
- 許可ポリシー: 既定のポリシーとして [アクセス許可ポリシー] を選択すると、アクセス許可ポリシーで定義されているポリシー条件の 1 つが true と評価されない限り、ユーザー セッションがすぐに終了します。
- 認証ポリシーのセッション検証コンテキストは、既定で 許可ポリシー に設定されています。
- セッション検証コンテキストは、許可ポリシーによって実装されます。コンテキストを拒否ポリシーに設定することはお勧めしません。
セッション検証コンテキストは、次のメカニズムに基づいて機能します。
- ユーザー要求からのセッション作成時にユーザーの IP アドレスをキャプチャし、セッションとデータベースに保存します。
- 要求の IP アドレスがセッション内の IP アドレスと異なる場合、またはお客様が定義した有効な IP 範囲の範囲外である場合に、要求を拒否します。
- 認証されたユーザーのみが使用できます。
- ゲストユーザーセッションまたはネイティブモバイルアプリには適用されません。
- オプションであり、構成できるという要件に基づいています。
- ログイン後の要求に対してのみ実行されます。
セッション検証の利点
セッション検証コンテキストには、次の利点があります。
- ハイジャック犯がユーザーのセッションCookieをあるデバイスから別のデバイスにコピーしてセッションを偽装するときのアクセス ServiceNow® を制限します。
- ユーザーが安全でないネットワークを使用している場合、ユーザーのセッションアクセスを制限します。
- ユーザーログインのユーザーグループまたはロール別にさまざまなルールと IP 範囲を設定します。
セッション検証コンテキストレコード
セッション検証コンテキストのポリシーは、ログイン後の要求を実行します。
セッション検証ポリシーコンテキストレコードのフィールドを使用して、インスタンスでのポリシーの使用方法を定義します。
| フィールド | 説明 |
|---|---|
| 名前 | ポリシーコンテキストの名前このフィールドは静的であり、変更できません。 |
| 説明 | コンテキストの説明。 |
| デフォルトポリシー | ポリシーを評価するときの、このコンテキストのデフォルト動作を定義します。次のオプションのいずれかを選択します。
|
| 許可ポリシー | このコンテキストで使用されるポリシー。このフィールドは、[デフォルトポリシー] フィールドが [許可ポリシー] に設定されている場合にのみ表示されます。 |
| 拒否ポリシー | このコンテキストで使用されるポリシー。このフィールドは、[デフォルトポリシー] フィールドが [拒否ポリシー] に設定されている場合にのみ表示されます。 |
ポリシー入力とポリシー条件に基づいて、[ セッション検証ポリシー ] を [許可ポリシー] または [拒否ポリシー] として選択できます。
セッション検証ポリシーには、IP、ロール、およびグループのフィルター基準のみを使用できます。
ポリシーの入力と条件
[ポリシー入力] タブと [ポリシー条件] タブには、[許可ポリシー] または [拒否ポリシー] フィールドで選択されたポリシーの入力と条件が表示されます。これらのタブは参照として機能します。ただし、ポリシーの入力や条件を変更するために使用することはできません。ポリシーを変更するには、[許可ポリシー] または [拒否ポリシー] フィールドの横にある参照アイコン (
) を使用してポリシーに移動します。