新規にアクセス権限ルールを作成するには「新規登録」をクリックします。
以下必要事項を入力し、「登録」をクリックします。
Microsoft 365の場合はクライアントに「Microsoft Entra ID Join(WS Trust)」が追加されます。
「Microsoft Entra ID Join(WS Trust)」には「要求される認証方式」で設定した認証方式は適用されません。
基本設定
- ID(必須)
- ルールの名前を入力します。
- アクセス先のサービス(必須)
- アクセス権を与えるサービスを選択します。
「管理コンソール」は Gluegent Gate の管理画面です。ここでの「管理コンソール」は https://auth.gluegent.net/tenantadmin/ へアクセスした時のルールです。 - 「ユーザーポータル」は Gluegent Gate のポータル画面です。ポータルへは
https://auth.gluegent.net/user/index.php?tenant=<Gluegent Gate のテナントID>
へアクセスします。 - ※例えばテナントIDが「example」の場合は以下の URL となります。
https://auth.gluegent.net/user/index.php?tenant=example
- アクセス先の特権ID
- 特権IDへのアクセス権を与えるサービスを選択します。
- 要求される認証方式
- アクセス権限において追加で認証を行いたい場合にチェックをオンにします。
- また認証ルールと同様、複数の方式を選択した場合、組み合わせの条件を AND もしくは OR で指定します。
- クライアント(必須)
- ルールを適用する端末の種類を指定します。これらのチェックは OR で組み合わされます。
-
注意:
・「携帯電話」はフィーチャーフォンを対象としています。個別のサービスでの利用を想定したものであり、Google Workspace/Microsoft 365ではお使いいただけません。
・「Microsoft Entra ID Join(WS Trust)」は ID/パスワード認証以外の認証方式はご利用いただけません。
- 権限の状態
- ルールの状態を選択します。有効にするとこのルールが有効になり、無効にすると無効になります。
- 説明
- このルールの説明など、任意の情報を入力します。
認証ルールを新作成すると、上部にタブメニューが追加されます。
許可するユーザー
「許可するユーザー」をクリックします。
このルールにマッチさせるユーザーを指定します。もし一人も指定されておらず、許可するグループにも指定が無い場合、全てのユーザーがマッチするルールとなります。
ユーザーの登録方法
追加したいユーザーを検索フォームから検索します。検索結果が下の「ユーザー一覧」に表示されたら対象ユーザーを選択し、「選択」をクリックします。対象ユーザーが「ユーザー一覧」から「アクセスを許可するユーザー」に移動したら「更新」をクリックします。
ユーザーの削除方法
認可を剥奪したいユーザーを「アクセスを許可するユーザー」から選択し、「削除」をクリックします。対象ユーザーが「アクセスを許可するユーザー」から削除されたら「更新」をクリックします。
組織・プロファイル
ユーザーの他に、組織やプロファイルに対しても許可ができます。組織に所属しているユーザーや、プロファイルを設定されているユーザーに対して設定する場合はユーザーではなく組織、プロファイルを選択します。追加 / 削除の方法はユーザーと同様です。
許可するグループ
「許可するグループ」をクリックします。
このルールにマッチさせるグループを指定します。
グループの登録方法
追加したいグループを検索フォームから検索します。検索結果が下の「グループ一覧」に表示されたら対象グループを選択し、「選択」をクリックします。対象グループが「グループ一覧」から「アクセスを許可するグループ」に移動したら「更新」をクリックします。
グループの削除方法
認可を剥奪したいグループを「アクセスを許可するグループ」から選択し、「削除」をクリックします。対象グループが「アクセスを許可するグループ」から削除されたら「更新」をクリックします。
端末(CA)の設定
「許可する端末」をクリックします。必要事項を入力し「更新」をクリックします。
- クライアント証明書
- 「全て」または任意の CA を選択します。例えば、端末認証 WEB / 証明書付き(NRA-PKI)で任意の CA と Gluegent Gate で発行した NRA-PKI の証明書のどちらを使うかでアクセス権限を分ける場合に使用します。
重要:
この設定は、認証ルールにより証明書認証または証明書確認で認証された場合のみ使用可能です。認証ルールで証明書認証または証明書確認を行っていない場合、ここでの設定によりアクセス権限ルールにマッチしなくなります。
ネットワークの設定
「許可するネットワーク」をクリックします。必要事項を入力し「更新」をクリックします。
- IPアドレス
- アクセス権限ルールにマッチさせるための条件となる IP アドレスを入力します。
- (例 203.0.113.1)
- カンマ区切りで複数指定できます。
- (例 203.0.113.1, 203.0.113.100)
- 先頭に「!」を付加すると指定した IP アドレス以外の IP アドレスに合致します。
- (例 !203.0.113.1 → 203.0.113.1 以外は OK)
- 「-」を使い、IP アドレスを範囲で指定できます。
- (例 203.0.113.1-100 → 203.0.113.1 から 203.0.113.100 まで OK)
- 「*」を使い、IP アドレスをワイルドカードでで指定できます。
- (例 203.0.113.* → 203.0.113.1から203.0.113.255 まで OK)
- ネットワークアドレス
- IPアドレスを範囲で指定したい場合には CIDR 形式でネットワークアドレスを入力します。
- (例 203.0.113.0/24)
- カンマ区切りで複数指定できます。
- 先頭に「!」を付加すると指定したネットワークアドレス以外のネットワークアドレスに合致します。
- ホスト名
- ホスト名を入力します。
- ホスト名から正引きされたすべての IP アドレスを条件として扱います。
- CNAME レコードを介して得られた IP アドレスも条件となります。
- ※例 example.com
- カンマ区切りで複数指定できます。
注意:
IPアドレス、ネットワークアドレスについてはアドレス数、文字数の制限はありません。ただしホスト名についてはホスト数に制限はありませんが、カンマ区切りで複数指定した場合の合計入力文字数は100文字です。
情報:
DNS 側でそのホスト名に対する IP アドレスを変更した場合の反映時間は、そのレコードの TTL 値に依存します。例えばホスト名 example.com の A レコードの TTL 値が 3600 秒(1 時間)であった場合、DNS 側でこのレコードの IP アドレスを 203.0.113.1 から 198.51.100.1 に変更してから、Gluegent Gate が 198.51.100.1 をアクセス制御の条件とするまでに、最大 1 時間かかります。
国の設定
「許可する国」をクリックします。必要事項を入力し「更新」をクリックします。
- ポリシータイプ
- 「許可する国を指定する」「拒否する国を指定する」のいずれかを選択します。
- 国一覧
- ここで選択した国からのアクセスを許可または拒否します。
IPアドレスに対応する国コードを「IP2Location: IP Address to Identify Geolocation Information」というサイトから取得しています。確認する際は以下のサイトがご利用いただけます。
https://www.ip2location.com/demo
時間の設定
「許可する時間」をクリックします。必要事項を入力し「更新」をクリックします。
- アクセスの種類
-
- 定期アクセス
月、週、日、時刻を指定して、定期的に繰り返し条件にしたい場合に選択します。
「平日9:00-17:30のみアクセス権を付与」という要件の場合、土日を除いてチェックをオンにし、時間に9:00-17:30を指定します。
※認可を制限するものなので、すでにログインしている場合、17:30以降も利用を継続できます。 - 期間限定のアクセス
年月日及び時刻を指定して、明示的に期間を条件にしたい場合に選択します。 - 指定なし
日時を利用した条件を使わない場合に選択します。
- 定期アクセス
- 月
- 定期アクセスを選択した場合に、条件にしたい月のチェックをオンにします。
- 週
- 定期アクセスを選択した場合に、条件にしたい曜日のチェックをオンにします。
- 日
- 定期アクセスを選択した場合に、条件にしたい日を入力します。
- 複数指定する場合はカンマ区切りで入力します。
- (例 1,5,10)
- 範囲を指定する場合はハイフンを使用します。
- (例 10-20 )
- 時間
- 定期アクセスを選択した場合に、条件にしたい時刻の範囲を指定します。
- アクセスを許可する時間帯を「時:分-時:分」と記述します。
- (例 10:00-12:00)
- 複数指定する場合はカンマ区切りで入力します。
- (例 10:00-12:00,15:00-18:00)
- 年月日
- 期間限定のアクセスを選択した場合に、条件にしたい年月日の範囲を指定します。
優先順位について
認証ルールと異なり、アクセス権限ルールには優先度の設定はありません。そのため、同じ条件のルールを設定すると意図しないルールが適用される場合があります。
アクセス権限ルールは許可する国・許可するネットワーク・許可する時間が設定されているものが優先度が高くなります。設定数による違いはありません。例えば、許可するネットワークが設定されたものと、許可するネットワークと許可する国が設定されたものはどちらも同じ優先度です。
同じ条件の場合は先に登録した順に優先度が高くなります。一覧の表示順は許可するサービスでソートされて表示されますので、表示順と作成順は一致しません。
上記の優先順位があり、同じ条件のルールを複数作成すると混乱を招きます。アクセス権限ルールはなるべくシンプルになるよう心がけましょう。
注意事項
全員が対象のルール
許可するユーザー、許可するグループの内容が共に未設定の場合、全てのユーザに対してマッチするルールとなります。
全員がアクセス権限なしでログイン
「アクセス先のサービス」を指定されたルールが 1 件も作成されていない場合、ユーザー詳細画面の許可するサービスがチェックされたすべてのユーザーがログインできます。
例えば、Google Workspace とのシングルサインオンを設定している場合、ユーザーの「許可するサービス」で「Google Workspace」のチェックをオンにします。「アクセス先のサービス」で「Google Workspace」のチェックがオンのアクセス権限ルールが 1 件も作成されていない場合、認証ルールに合致した時点で Google Workspace にログインできます。