セッション検証コンテキスト
セッション検証コンテキストは、セッションまたは Cookie のハイジャックに対する追加の保護レイヤーとして使用します。
セッション検証コンテキストは、適応認証ポリシーフレームワークで使用できます。このフレームワークでは、認証ポリシーを使用して認証要求を評価してから、ポリシーの入力と条件に基づいてアクセスを拒否または許可します。
セッション検証コンテキストポリシーは、認証後ポリシーと組み合わせて使用することができ、admin はログインセッション中に特定またはすべてのユーザーに IP 制限を適用できます。
セッション検証コンテキスト機能は、設定した条件に基づく IP アドレスを評価し、セッション内のインスタンスへのアクセスを許可します。セッション検証コンテキストの結果は次のとおりです。
- 拒否ポリシー:デフォルトのポリシーとして [アクセス拒否ポリシー] を選択すると、ユーザーはデフォルトでセッションを続行できます。セッションは、アクセス拒否ポリシーで定義されているポリシー条件の 1 つが true と評価された場合にのみ終了します。
- 許可ポリシー:デフォルトのポリシーとして [アクセス許可ポリシー] を選択すると、アクセス許可ポリシーで定義されているポリシー条件の 1 つが true と評価されない限り、ユーザーセッションがすぐに終了します。
- 認証ポリシーのセッション検証コンテキストは、デフォルトで許可ポリシーに設定されています。
- セッション検証コンテキストは、許可ポリシーによって実装されます。コンテキストを拒否ポリシーに設定することはお勧めしません。
セッション検証コンテキストは、次のメカニズムに基づいて機能します。
- ユーザー要求からのセッション作成時にユーザーの IP アドレスをキャプチャし、セッションとデータベースに保存します。
- 要求の IP アドレスがセッション内の IP アドレスと異なる場合、または顧客が定義した有効な IP 範囲の範囲外である場合に、要求を拒否します。
- 認証ユーザーのみ利用可能。
- ゲストユーザーセッションまたはネイティブモバイルアプリには適用されません。
- オプションであり、構成できるという要件に基づいています。
- ログイン後の要求に対してのみ実行されます。
セッション検証の利点
セッション検証コンテキストには、次の利点があります。
- ハイジャッカーがユーザーのセッション Cookie をあるデバイスから別のデバイスにコピーしてセッションを代理操作するとき、ServiceNow® へのアクセスを制限します。
- ユーザーが安全でないネットワークを使用している場合、ユーザーのセッションアクセスを制限します。
- ユーザーログインのユーザーグループまたはロール別にさまざまなルールと IP 範囲を設定します。
セッション検証コンテキストレコード
セッション検証コンテキストのポリシーは、ログイン後の要求を実行します。
セッション検証ポリシーコンテキストレコードのフィールドを使用して、インスタンスでのポリシーの使用方法を定義します。
| フィールド | 説明 |
|---|---|
| 名前 | ポリシーコンテキストの名前このフィールドは静的であり、変更することはできません。 |
| 説明 | コンテキストの説明。 |
| デフォルトポリシー | ポリシーを評価するときの、このコンテキストのデフォルト動作を定義します。次のオプションのいずれかを選択します。
|
| 許可ポリシー | このコンテキストで使用されるポリシー。このフィールドは、[デフォルトポリシー] フィールドが [許可ポリシー] に設定されている場合にのみ表示されます。 |
| 拒否ポリシー | このコンテキストで使用されるポリシー。このフィールドは、[デフォルトポリシー] フィールドが [拒否ポリシー] に設定されている場合にのみ表示されます。 |
ポリシー入力とポリシー条件に基づいて、[セッション検証ポリシー ]を [許可ポリシー] または [拒否ポリシー] として選択できます。
セッション検証ポリシーには、IP、ロール、およびグループのフィルター基準のみを使用できます。
ポリシーの入力と条件
[ポリシー入力] タブと [ポリシー条件] タブには、[許可ポリシー] または [拒否ポリシー] フィールドで選択されたポリシーの入力と条件が表示されます。これらのタブは参照できますが、ポリシーの入力や条件を変更するために使用することはできません。ポリシーを変更するには、[許可ポリシー] または [拒否ポリシー] フィールドの横にある参照アイコン (
) を使用してポリシーに移動します。