継続認証の構成
継続的認証 (CA) ポリシーを構成して、保護されているリソースへのアクセスが試行された場合にユーザーを再認証します。
始める前に
- 必要なロール:admin (ca_admin)注:ロールを ca_admin に昇格させる必要があります。
- ライセンスが必要な CA を選択するには、 Zero Trust - Continuous Authentication (
com.snc.zero_trust_continuous_authentication) をインストールする必要があります。 - 継続的認証 (glide.zta.continuous_authentication.enabled) システムプロパティを有効にします。詳細については、「システムプロパティ」を参照してください。
- Integration - Multiple Provider Single Sign-On Installer (com.snc.integration.sso.multi.installer) プラグインをアクティブ化します。
- インスタンスの CA を構成する前に必要な事前作業を理解します。詳細については、「継続認証の事前作業」を参照してください。
- CA ポリシーは、データクラスまたはテーブルに対して構成できます。
手順
-
フォームの各フィールドに入力します。
表 : 1. 継続認証 フィールド 説明 ポリシー名 ポリシーの名前 説明 ポリシーの一般的な説明 リソースを選択 オプション: - データクラス。データクラスを作成し、CA ポリシー構成に使用できます。選択できるサンプルデータクラスは次のとおりです。
- 内部
- 個人識別用情報
- Restricted (制限付き)
- 機密
- 公開
注:データクラスの作成方法の詳細については、「 データ分類」を参照してください。 - テーブル
注:- メタデータとともに選択されたテーブルにエラーが表示されます。
- ユーザーの構成アクセスに影響を与える可能性があるため、実際にメタデータテーブルへのアクセスを制限するかどうかを確認する必要があります。
- sys_properties、sys_continuous_auth_policy、sys_userテーブルは CA から除外され、CA ポリシー構成に追加することはできません。
注:CA ポリシーには、次のいずれかのログイン方法を使用できます。- SSO ベースのログイン:ID プロバイダーレコード内の [継続的認証 ] タブでフィールドを指定し、ID プロバイダーレコードを アクティブとして設定します。
- 非 SSO ベースのログイン:デフォルトでは、継続的認証構成の ID プロバイダーがない場合は、ログイン方法としてマルチファクター認証 (MFA) が使用されます。MFA プロパティがアクティブで、要件に基づいて構成されていることを確認します。MFA プロパティの詳細については、「 マルチファクター認証システムプロパティ」を参照してください。
- データクラス。データクラスを作成し、CA ポリシー構成に使用できます。選択できるサンプルデータクラスは次のとおりです。
タスクの結果
構成に指定された詳細に基づいて、選択したテーブルまたはデータクラスのアクセス制御リスト (ACL) を使用して CA ポリシーが作成されます。ポリシーページで [ACL を表示 ] を選択して作成された ACL の詳細を表示できます。
作成された CA ポリシーは、次のシナリオに基づいて、ポリシーを使用して保護したテーブルまたはデータクラスにアクセスするための認証をユーザーに求めます。
- インスタンスにログインするためにローカルログインを実行したユーザーには、ステップアップ認証用のプラットフォーム MFA が表示されます。注:認証に最近使用した MFA 要素が表示されます。
- インスタンスにログインするために SSO ログイン (OIDC または SAML) を実行したユーザーは、再認証のために SSO とともに表示されます。
これで、ユーザーに対してハイアシュアランスセッションが確立されました。高保証セッションは、高保証セッション長 (glide.zta.high_assurance.session.timeout) システムプロパティに制限されます。ハイアシュアランスセッション時間がプロパティ長を超えると、ユーザーは再認証またはステップアップ認証を求められます。
テーブルまたはデータの継続的認証のエンドツーエンド構成の詳細については、以下を参照してください。