チュートリアル:Zero Trust アクセスを使用する
エンドツーエンドのユースケースで Zero Trust Access 機能を使用する手順。
始める前に
必要なロール:security_admin
[セッションアクセスの有効化 (Enable Session Access property)] を有効にします。
注:
- セッションアクセスの構成は security_admin ロールでのみ実行できます。ロールを security_admin に昇格させる必要があります。
- セッションアクセスは統合をサポートしていません。
- 削減または制限されたロールがユーザーに割り当てられていない場合、セッションアクセスは影響を与えません。この場合、ログインしたセッションに変更はありません。ユーザーは引き続き、アサインされた権限でインスタンスにアクセスできます。
- ユーザーがすでにインスタンスにログインし、同時に管理者がポリシーを設定している間は、セッションアクセスに影響はありません。ポリシーを有効にするには、ユーザーがセッションからログアウトする必要があります。
- セッションアクセスはログイン時に適用されます。セッション中にリスクパラメーターが変更されても、アクセスが制限されることはありません。たとえば、ユーザーがセッションの確立後に企業ネットワークから信頼できないネットワークに切り替えても、ユーザーがログアウトして再度ログインしない限り、アクセスは低下しません。
セッションアクセスは、ユーザーが信頼できないネットワークからのログイン、別のデバイスからのログインなど、異なる環境からインスタンスにログインしようとしているときに、管理者がユーザーに対して一連のロールを動的に削減または制限できるようにする機能です。
セッションアクセスは、構成を実行するときに作成されたポリシーと選択したアクションによって制御できます。シナリオの一部は次のとおりです。
- ポリシーが true で、ロールアクションが [ロールを削除] に設定されている場合、ユーザーがインスタンスにログインしようとすると、選択したロールとそれに関連する子ロールがそのユーザーから削除されます。
- ポリシーが true で、ロールアクションが [ロールに制限 (Limit To Roles)] に設定されている場合、ユーザーがインスタンスにログインしようとすると、選択したロールとそれに関連付けられた子ロールのみがそのユーザーにアサインされます。
次の手順では、インスタンスにログインしているユーザーにロールが制限されるセッションアクセス構成のエンドツーエンド構成について説明します。同様に、構成中に [ロールを削除] オプションを選択して、ロールを削除することもできます。
手順
-
ユーザーのロールを制限するには、フォームの各フィールドに入力します。
- 名前
- 説明
- ポリシー
- アクション
- ロールリスト
- グループリスト
-
[アクション] で [ロールに制限 (Limit to Roles)] を選択します。ポリシーが true の場合、ユーザーはインスタンスにログインしようとするときに、選択したロールとそれに関連する子ロールのみを使用できます。
ユーザーがオーストラリア国外のインスタンスにログインすると、[ナレッジ] ロールとそれに関連する子ロールのみがログインセッションにアサインされ、ユーザーに対する他のロールは制限されます。
ログイン後、ユーザーのプロファイルセクションにプラットフォームの次のエラーメッセージが表示されます。
ユーザーは管理者に連絡し、調査のために相関 ID を提供できます。
注:相関 ID は、セッションアクセス監査テーブル内で対応する監査レコードの sys_id です。