認証ポリシーの設定により、認証・アクセス権限ルールに付加機能を追加します。必要に応じて設定してください。
左メニューの認証→認証ポリシーをクリックします。
設定内容は以下の通りです。
- 認証ルール
- ユーザー単位の認証ルール設定を有効
-
チェックをオンにすると認証ルールに「許可するユーザー」「許可するグループ」のタブが表示されます。ログイン時にユーザー ID のみ入力する画面が表示され、認証ルールの設定に合う場合のみ、アクセス権限ルールの設定にしたがい認証を行います。
チェックをオフにすると認証ルールの「許可するユーザー」「許可するグループ」のタブは無効となります。
注意:
チェックをオンにするとスマートフォン認証とPC端末認証が使用できません。
- ユーザーに許可する操作
- パスワード初期化
チェックをオンにすると、ユーザーによるパスワードリセットが可能となります。ログイン画面にパスワードリセット用のリンクが表示されます。
パスワードリセットを確定するメールがメールアドレスまたは通知用メールアドレスに送信されます。リンクをクリックするとパスワードが初期化され、新しいパスワードがメールで通知されます。
- ワンタイムパスワード初期化
チェックをオンにすると、ユーザーによるワンタイムパスワードの初期設定・初期化を有効にします。
オフにした場合は、ユーザーポータルでのみワンタイムパスワードの設定が行なえます。
- ユーザー名記憶
チェックをオンにすると、ログイン画面に「ユーザー名を記憶する」のチェックボックスを表示されます。
「ユーザー名を記憶する」をオンにし、初回ログイン実施後、次回ログイン時に前回ログインした際のユーザーIDが自動入力されます。
- ログイン時多要素認証設定を強制化
チェックをオンにすると、ワンタイムパスワード未設定のユーザーが認証した際、強制的にワンタイムパスワード認証設定画面に遷移させることができます。
※ ワンタイムパスワードの設定画面には、管理コンソールの左メニュー 「システム」 → 「画面設定」 の「画面設定」タブにある「ワンタイムパスワードの設定に表示するトークン」で有効化したトークンが表示されます。
- 多要素認証の省略
- ワンタイムパスワード(メール認証)
- ワンタイムパスワード(トークン)
- FIDO認証
チェックをオンにすると初回ログイン時に「このブラウザを信頼する」チェックボックスが表示されます。チェックをオンにしてログインすると次回からこのブラウザでの多要素認証を省略します。
情報:
多要素認証が省略された状態は以下の期間保持されます。
・最初のログインから 7 日間保持されます。8 日目には再度多要素認証が求められます。
・7 日以内に再度ログインした場合、そこからさらに 7 日間保持されます。
・最大 30 日間保持されます。30日経過後のログイン時には再度多要素認証が求められます。
- 認証セッションの維持
-
チェックをオンにすると、ユーザーに対して「セッション有効期間」に設定した時間を維持させることができます。デフォルト(無効時)はブラウザを閉じるとセッションが終了し、再アクセス時に再認証が必要です。
※セッション有効時間は最短1時間、最長168時間設定できます。また、「認証ポリシー」とユーザー・グループ単位で適用する「プロファイル」でそれぞれ設定が可能で、同時に設定されていた場合はプロファイルの設定が優先されます。
情報:
【特権IDポータルをご利用のお客様】同じブラウザー上で、通常の Gluegent Gate ユーザーと特権 ID は双方のセッションを管理することはできません。後から開いたほうのセッション管理に移譲されます。
一方のユーザーからログアウトするか、別のブラウザーやシークレットウィンドウなどを利用してユーザーを使い分けてください。
- リスクベース認証
リスクポイントが高いログイン(海外から同時アクセスなど)に対して追加認証で選択した挙動を行います。
リスクレベルを「高」「中」「低」から選択します。
「高」を選択すると、リスクポイントが高いログインが頻繁に行われたときに、「低」を選択するとリスクポイントが高いログインが少ない頻度でも行われたときに追加認証が行われます。
リスクポイントが高いログインが行われた際の追加認証を選択します。
ここで選択した追加認証は認証・アクセス権限で「リスクベース認証」のチェックをオンしたルールに適用されます。
※Gluegent Gate ではリスクポイントの高さ判定の調整を随時行っています。そのため、急にリスクとして判断されるようになる場合があります。
※リスクポイントが高いログインが行われたときに困らない追加認証を選択してください。メールアドレスや通知用メールアドレス宛にワンタイムパスワードが送付される「ワンタイムパスワード(メール認証)」を推奨します。
- ログインアラート
- 管理者へのメール通知
リスクポイントが高いログインに対して管理者にメール通知を行います。通知先の管理者のメールアドレスは「システム」>「テナント情報」の「システムからの通知先メールアドレス」に設定します。
「送信しない」「リスクレベル「高」以上で送信」「リスクレベル「中」以上で送信」「リスクレベル「低」以上で送信」から選択します。
認証・アクセス権限ルールに関わらずリスクポイントが高いログインに対して通知されます。
- ユーザーへのメール通知
リスクポイントが高いログインに対してユーザーにメール通知を行います。通知先はユーザー詳細画面の「通知用メールアドレス」です。設定されていない場合は「メールアドレス」です。
「送信しない」「リスクレベル「高」以上で送信」「リスクレベル「中」以上で送信」「リスクレベル「低」以上で送信」から選択します。
認証・アクセス権限ルールに関わらずリスクポイントが高いログインに対して通知されます。
- 同時ログイン禁止
- 禁止しない
同一ユーザーIDでの同時ログインが可能です。
- 後からログインしたユーザーのログインを有効
すでにログイン済みのユーザーと後からログインした同一のユーザーIDの場合、そのログインが有効となります。前にログインしていたユーザー(端末)は、Gluegent Gate へ操作が発生したタイミングでログアウトされます。
- 後からログインしたユーザーのログイン禁止
すでにログイン済みのユーザーと同一のユーザーIDで後からログインしようとした場合、ログインが拒否されます。
情報:
パソコンでログイン後、スマートフォンからログインを行った場合、先にパソコンでログアウトを行う必要があります。ユーザーがログアウトを実施せずにブラウザーを終了した場合、他端末からログインができなくなってしまうため、ご注意ください。
ユーザーがログアウトできない場合は、該当ユーザーのユーザー詳細画面から「リセットログインセッション」を選択してください。このボタンは、「後からログインしたユーザーのログイン禁止」を有効にした場合のみ表示されます。
必要事項を設定し「保存」をクリックします。