チュートリアル:Zero Trust アクセスを使用する

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:4分

    • エンドツーエンドのユースケースで Zero Trust アクセス機能を使用する手順。

    始める前に

    必要なロール:security_admin

    [セッションアクセスの有効化 (Enable Session Access property)] を有効にします。

    注:
    • セッションアクセスの構成は security_admin ロールでのみ実行できます。ロールを security_admin に昇格させる必要があります。
    • セッションアクセスは統合をサポートしていません。
    • 削減または制限されたロールがユーザーにアサインされていない場合、セッションアクセスは影響を及ぼしません。この場合、ログインしたセッションに変更はありません。ユーザーは引き続き、アサインされた権限でインスタンスにアクセスできます。
    • ユーザーがインスタンスにログイン済みで、同時にアドミニストレーターがポリシーを設定する場合、セッションアクセスは影響を及ぼしません。ポリシーを有効にするには、ユーザーがセッションからログアウトする必要があります。
    • セッションアクセスはログイン時に適用されます。セッション中にリスクパラメーターが変更されても、アクセスが制限されることはありません。たとえば、ユーザーがセッションの確立後に企業ネットワークから信頼できないネットワークに切り替えても、ユーザーがログアウトして再度ログインしない限り、アクセスが低下することはありません。
    • セッションアクセス (Zero Trust Access - ZTA) 機能では、 snc_internalsnc_external などのロールは削除できません。
    • セッションアクセス (Zero Trust アクセス - ZTA) 機能では、 sys_user_has_role またはユーザーグループメンバーシップテーブルからロールが削除されることはありません。ZTA ポリシーに基づいて、削減または制限されたロールでユーザーセッションを確立します。
    • システムコンテキストで実行されるスクリプトは、ZTA セッションロールを考慮しません。

    セッションアクセスは、信頼できないネットワークからのログイン、別のデバイスからのログインなど、ユーザーがさまざまな環境からインスタンスにログインを試行するときに、アドミニストレーターがユーザーに対する一連のロールを動的に削減または制限できるようにする機能です。

    セッションアクセスは、構成を実行するときに作成されたポリシーと選択したアクションによって制御できます。シナリオの一部は次のとおりです。

    • ポリシーが true で、ロールアクションが [ロールを削除] に設定されている場合、ユーザーがインスタンスにログインしようとすると、選択したロールとそれに関連する子ロールがそのユーザーから削除されます。
    • ポリシーが true で、ロールアクションが [ロールに制限 (Limit To Roles)] に設定されている場合、ユーザーがインスタンスにログインしようとすると、選択したロールとそれに関連付けられた子ロールのみがそのユーザーにアサインされます。

    次の手順では、インスタンスにログインしているユーザーにロールが制限されるセッションアクセス構成のエンドツーエンド構成について説明します。同様に、構成中に [ロールを削除] オプションを選択して、ロールを削除することもできます。

    手順

    1. 移動先 すべて > セッションアクセス > セッションアクセスロール構成.
    2. [セッションアクセスロールの構成 (Session Access Role Configurations)] ページで、[新規] を選択します。
    3. ユーザーのロールを制限するには、フォームのフィールドに入力します。
      • 名前
      • 説明
      • ポリシー
      • アクション
      • ロールリスト
      • グループリスト
      1. [ロールに制限 (Limit to Roles)] を選択して、ユーザーのロールを制限します。
        例:itil
      2. ロールリストから [ナレッジ] ロールを選択します。
      3. [ポリシー] を選択します。

        認証ポリシーとフィルター基準 (ロール、グループ、IP、場所) をポリシーの入力と条件とともに使用して、セッションアクセスポリシーを作成できます。

        セッションアクセス構成でポリシーを使用します。たとえば、ロール (ナレッジ) を、場所 (オーストラリア) の外部でログインしているユーザーに制限するとします。

      4. [アクション] で [ロールに制限 (Limit to Roles)] を選択します。
        ポリシーが true の場合、ユーザーがインスタンスにログインしようとすると、選択したロールとそれに関連付けられた子ロールのみがそのユーザーで使用できます。制限されたロール。
      5. [送信] を選択します。

        同様に、グループリストからグループを選択して、グループ内のユーザーのロールを制限または削除できます。

      ユーザーがオーストラリア国外のインスタンスにログインすると、[ナレッジ] ロールとそれに関連する子ロールのみがログインセッションにアサインされ、ユーザーに対する他のロールは制限されます。

      ログイン後、プラットフォームのプロファイルセクションに次のエラーメッセージが表示されます。

      ログイン後のエラーメッセージ。

      ユーザーはアドミニストレーターに連絡し、調査のために相関 ID を提供できます。

      注:
      相関 ID は、セッションアクセス監査テーブル内で対応する監査レコードの sys_id です。