セッションアクセスに対する IDP 属性の設定

  • リリースバージョン: Xanadu
  • 更新日 2024年08月01日
  • 所要時間:2分

    • セキュリティアサーションマークアップ言語 (SAML) 応答から作成された ID プロバイダー (IDP) 属性を使用して、インスタンスへのユーザーセッションアクセスを削除または制限します。

    始める前に

    必要なロール:security_admin

    [セッションアクセスの有効化 (Enable Session Access property)] を有効にします。

    注:
    セッションアクセスロール構成を使用するには、ロールを security_admin に昇格させる必要があります。

    セッションアクセスは、構成を実行するときに作成されたポリシーと選択したアクションによって制御できます。シナリオの一部は次のとおりです。

    • ポリシーが true で、ロールアクションが IDP 属性の入力と条件とともに [ロールを削除] に設定されている場合、ユーザーがインスタンスにログインしようとすると、選択したロールとそれに関連付けられた子ロールがそのユーザーから削除されます。
    • ポリシーが true で、ロールアクションが IDP 属性の入力と条件とともに [ロールに制限 (Limit To Roles)] に設定されている場合、ユーザーがインスタンスにログインしようとすると、選択したロールとそれに関連付けられた子ロールのみがそのユーザーにアサインされます。

    次の手順は、SAML 応答からポリシー入力として IDP 属性を設定してセッションアクセスを制御するステップを示しています。

    手順

    1. 移動先 すべて > セッションのアクセス > セッションアクセスロール構成.
    2. [セッションアクセスロールの構成 (Session Access Role Configurations)] ページで、[新規] を選択します。
    3. ユーザーのロールを削除するには、フォームのフィールドに入力します。
      • 名前
      • 説明
      • ポリシー
      • アクション
      • ロールリスト
      • グループリスト
      1. [ロールを削除] を選択して、ユーザーのロールを削除します。
        例:itil
      2. ロールリストから [itil] ロールを選択します。
      3. [ポリシー] を選択します。
        適応認証ポリシー作成を使用してさまざまなフィルター基準でポリシーを作成する方法の詳細については、「フィルター基準」を参照してください。
      4. [アクション] で [ロールを削除] を選択します。
        ポリシーが true で、ロールアクションが [ロールを削除] に設定されている場合、ユーザーがインスタンスにログインしようとすると、選択したロールがそのユーザーから削除されます。
      5. ポリシー入力で、ポリシーの入力と条件を作成します。
        例:
        • ポリシー入力:Okta (IDP) からのリスクスコア属性
        • ポリシー条件:条件としての 60 ~ 80 のリスクスコア
        ID 属性のリスクスコア

        この構成に基づいて、Okta (IDP) からのリスクスコア属性値が 80 を超える場合、ユーザーはインスタンスから削除されたロール (従業員) およびその子ロールで認証されず、アサインされた他のロールでのみ認証されます。リスクスコアが 60 ~ 80 の場合、ユーザーはすべてのロールでインスタンスに認証されます。

        ポリシーと条件で認証後コンテキストのポリシーを作成する方法の詳細については、「認証後コンテキスト」を参照してください。

        注:
        [セッションアクセスの有効化 (Enable Session Access property)] プロパティが非アクティブの場合、セッションアクセスの構成によってユーザーのロールが制限または削除されることはありません。
      6. [送信] を選択します。