新規にアクセス権限ルールを作成するには「新規登録」をクリックします。
以下必要事項を入力し、「登録」をクリックします。
Microsoft 365の場合はクライアントに「Office 365 Outlook」「Office 365 Skype」「Office 365 アプリケーション」「Office 365 ActiveSync」が追加されます。
これらの項目は先進認証に対応していないソフトウェア / サービスを対象としています。画面で選択された認証方式は適用されず、ID/パスワード認証のみとなります。
基本設定
項目名 | 説明 |
---|---|
ID(必須) |
ルールの名前を入力します。 |
アクセス先のサービス(必須) |
アクセス権を与えるサービスを選択します。 https://auth.gluegent.net/user/index.php?tenant=<Gluegent Gate のテナントID> へアクセスします。 https://auth.gluegent.net/user/index.php?tenant=example
|
アクセス先の特権ID |
特権IDへのアクセス権を与えるサービスを選択します。 |
要求される認証方式 |
アクセス権限において追加で認証を行いたい場合にチェックをオンにします。 |
クライアント(必須) |
ルールを適用する端末の種類を指定します。これらのチェックは OR で組み合わされます。 |
権限の状態 |
ルールの状態を選択します。有効にするとこのルールが有効になり、無効にすると無効になります。 |
説明 |
このルールの説明など、任意の情報を入力します。 |
認証ルールを新作成すると、上部にタブメニューが追加されます。
許可するユーザー
「許可するユーザー」をクリックします。
このルールにマッチさせるユーザーを指定します。もし一人も指定されておらず、許可するグループにも指定が無い場合、全てのユーザーがマッチするルールとなります。
ユーザーの登録方法
追加したいユーザーを検索フォームから検索します。検索結果が下の「ユーザー一覧」に表示されたら対象ユーザーを選択し、「選択」をクリックします。対象ユーザーが「ユーザー一覧」から「アクセスを許可するユーザー」に移動したら「更新」をクリックします。
ユーザーの削除方法
認可を剥奪したいユーザーを「アクセスを許可するユーザー」から選択し、「削除」をクリックします。対象ユーザーが「アクセスを許可するユーザー」から削除されたら「更新」をクリックします。
組織・プロファイル
ユーザーの他に、組織やプロファイルに対しても許可ができます。組織に所属しているユーザーや、プロファイルを設定されているユーザーに対して設定する場合はユーザーではなく組織、プロファイルを選択します。追加 / 削除の方法はユーザーと同様です。
許可するグループ
「許可するグループ」をクリックします。
このルールにマッチさせるグループを指定します。
グループの登録方法
追加したいグループを検索フォームから検索します。検索結果が下の「グループ一覧」に表示されたら対象グループを選択し、「選択」をクリックします。対象グループが「グループ一覧」から「アクセスを許可するグループ」に移動したら「更新」をクリックします。
グループの削除方法
認可を剥奪したいグループを「アクセスを許可するグループ」から選択し、「削除」をクリックします。対象グループが「アクセスを許可するグループ」から削除されたら「更新」をクリックします。
端末(CA)の設定
「許可する端末」をクリックします。必要事項を入力し「更新」をクリックします。
- クライアント証明書
- 「全て」または任意の CA を選択します。例えば、端末認証 WEB / 証明書付き(NRA-PKI)で任意の CA と Gluegent Gate で発行した NRA-PKI の証明書のどちらを使うかでアクセス権限を分ける場合に使用します。
国の設定
「許可する国」をクリックします。必要事項を入力し「更新」をクリックします。
項目名 | 説明 |
---|---|
ポリシータイプ |
「許可する国を指定する」「拒否する国を指定する」のいずれかを選択します。 |
国一覧 |
ここで選択した国からのアクセスを許可または拒否します。 |
IPアドレスに対応する国コードを「IP2Location: IP Address to Identify Geolocation Information」というサイトから取得しています。確認する際は以下のサイトがご利用いただけます。
https://www.ip2location.com/demo
ネットワークの設定
「許可するネットワーク」をクリックします。必要事項を入力し「更新」をクリックします。
項目名 | 説明 |
---|---|
IPアドレス |
アクセス権限ルールにマッチさせるための条件となる IP アドレスを入力します。 |
ネットワークアドレス |
IPアドレスを範囲で指定したい場合には CIDR 形式でネットワークアドレスを入力します。 |
ホスト名 |
ホスト名を入力します。 |
IPアドレス、ネットワークアドレス、ホスト名の最大入力文字数は 1000 文字です。IPアドレス、ネットワークアドレス、ホスト数の制限はありません。
DNS 側でそのホスト名に対する IP アドレスを変更した場合の反映時間は、そのレコードの TTL 値に依存します。例えばホスト名 example.com の A レコードの TTL 値が 3600 秒(1 時間)であった場合、DNS 側でこのレコードの IP アドレスを 203.0.113.1 から 198.51.100.1 に変更してから、Gluegent Gate が 198.51.100.1 をアクセス制御の条件とするまでに、最大 1 時間かかります。
時間の設定
「許可する時間」をクリックします。必要事項を入力し「更新をクリックします。
項目名 | 説明 |
---|---|
アクセスの種類 |
|
月 |
定期アクセスを選択した場合に、条件にしたい月のチェックをオンにします。 |
週 |
定期アクセスを選択した場合に、条件にしたい曜日のチェックをオンにします。 |
日 |
定期アクセスを選択した場合に、条件にしたい日を入力します。 |
時間 |
定期アクセスを選択した場合に、条件にしたい時刻の範囲を指定します。 |
年月日 |
期間限定のアクセスを選択した場合に、条件にしたい年月日の範囲を指定します。 |
優先順位について
認証ルールと異なり、アクセス権限ルールには優先度の設定はありません。そのため、同じ条件のルールを設定すると意図しないルールが適用される場合があります。
アクセス権限ルールは許可する国・許可するネットワーク・許可する時間が設定されているものが優先度が高くなります。設定数による違いはありません。例えば、許可するネットワークが設定されたものと、許可するネットワークと許可する国が設定されたものはどちらも同じ優先度です。
同じ条件の場合は先に登録した順に優先度が高くなります。一覧の表示順は許可するサービスでソートされて表示されますので、表示順と作成順は一致しません。
上記の優先順位があり、同じ条件のルールを複数作成すると混乱を招きます。アクセス権限ルールはなるべくシンプルになるよう心がけましょう。
注意事項
全員が対象のルール
許可するユーザー、許可するグループの内容が共に未設定の場合、全てのユーザに対してマッチするルールとなります。
全員がアクセス権限なしでログイン
「アクセス先のサービス」を指定されたルールが 1 件も作成されていない場合、ユーザー詳細画面の許可するサービスがチェックされたすべてのユーザーがログインできます。
例えば、Google Workspace とのシングルサインオンを設定している場合、ユーザーの「許可するサービス」で「G Suite」のチェックをオンにします。「アクセス先のサービス」で「G Suite」のチェックがオンのアクセス権限ルールが 1 件も作成されていない場合、認証ルールに合致した時点で Google Workspace にログインできます。