IP 範囲ベースの認証
Web ベースのアプリケーションを保護する 1 つの方法は、IP アドレスに基づいてアクセスを制限することです。
悪意のある個人に属すると思われる特定のアドレスまたはアドレス範囲へのアクセスをブロックできます。インスタンスにより、IP アドレスでアクセスを制御できます。
注:
適応認証 (AA) 事前認証コンテキストポリシーを使用して、IP ベースの認証と追加機能の制限を強制します。詳細については、「適応認証」を参照してください。
注意事項および制限事項:
- 自分自身をロックアウトすることはできないため、現在のアドレスがロックアウトされるようなルールを追加しようとすると、警告が表示されて挿入が拒否されます。
- 企業イントラネット内にいる場合は、IP ルールの設定に十分注意してください。通常、自分のコンピューターに表示される IP アドレス (10.10.10.25 など) は、実際にインターネット上に表示される IP アドレスとは無関係です。会社は、ユーザーのアドレスを予測可能な送信アドレスにプロキシしたり、NAT を行ったりします。これについては、ネットワークチームに問い合わせる必要があります。
- アクセスルールに基づいてアクセスが制限されているユーザーには、ブラウザーで 403 エラーが表示されます。
- 制限付きユーザーは、トランザクション、セマフォ、またはサーバーリソースカウントを使用しません。
- たとえば、データセンターへの VPN を実行している場合、この機能が既存のアクセス制御ルールに優先されることも上書きされることもありません。これは、PIX で設定されている可能性があるアクセス制御に加えて満たす必要がある追加のチェックです。
- 許可ルールは常に拒否ルールより優先されます。そのため、アドレスが (1 つのルールで) 許可され、(2 番目のルールで) 拒否される場合、実際には許可されます。
- 現在、アスタリスクと CIDR ブロックはサポートされていません。
- 転送プロキシアドレスについては、チェーン内の各アドレスに許可ルールが適用され、一致する許可ルールがない場合はチェーン内の各アドレスに拒否ルールが適用されます。
- IP 範囲ベースの認証は、更新セットの転送に影響を与える可能性があります。ソースインスタンスで IP アドレスアクセス制御が有効になっている場合は、インスタンスをサポートするすべてのアプリケーションノードの IP アドレスを例外として追加します。注:インスタンスの IP 情報を見つけるには、 ServiceNow - NOW サポート、 自分の IP 情報 サービスカタログアイテムを検索します。
注:
特定の IP 範囲へのインスタンスアクセスを制限する com.snc.ipauthenticator プロパティと glide.ip.authenticate.strict プロパティの詳細については、「インスタンスセキュリティ強化設定」の以下のトピックを参照してください。