<アクセスセキュリティ>
⽬目次 1. はじめに ... 4 1.1. HDE アクセスコントロールで使⽤用する⽤用語 ... 4 2. HAC 管理理画⾯面 ... 6 2.1. ログイン URL ... 6 2.2. 管理理画⾯面メニュー ... 7 3. システム ... 8 3.1. ドメインの設定 ... 8 3.1.1. ログイン画⾯面の設定 ... 8 3.1.2. パスワード関連の設定 ... 9 3.1.3. プロビジョニングの設定(Google Apps 限定) ... 11 3.1.4. セキュアブラウザ関連の設定 ... 11
3.1.5. HDE One Access Control Directory Sync 接続設定(Office365 限定) ... 12
3.1.6. その他の設定 ... 12 3.2. アクセスログ ... 14 3.3. ⼀一括登録ログ ... 14 4. ユーザー ... 15 4.1. ユーザー⼀一覧 ... 15 4.1.1. ユーザー検索索 ... 17 4.1.2. 新規ユーザー登録 ... 17 4.1.3. ユーザーの⼀一括登録・更更新 ... 19 4.2. アクセスポリシーグループ ... 20 4.2.1. アクセスポリシーグループの作成 ... 20 5. アクセス制御式 ... 22 5.1. アクセス制御式の基本 ... 22 5.2. アクセスを許可する条件(デフォルト:true) ... 24 5.3. OTP を要求しない条件(デフォルト:true) ... 24 5.4. OTP 共有鍵の表⽰示を許可する条件(デフォルト:true) ... 25 5.5. OTP 通知メールアドレスの変更更を許可する条件(デフォルト: true) ... 26 5.6. セキュアブラウザ設定画⾯面へのアクセスを許可する条件(デフォルト: true) ... 26
5.7. 未読メールチェック設定の変更更を許可する条件(デフォルト: true) ... 27 5.8. アプリケーションからのアクセスを許可する条件(デフォルト: true) ... 28 5.9. ⼊入場証発⾏行行条件(デフォルト: false) ... 28 6. よくあるアクセスポリシー例例 ... 29 6.1. 設定例例 1 ... 29 6.2. 設定例例 2 ... 30 6.3. 設定例例 3 ... 31 7. FAQ ... 32 本マニュアルは、サービスの改良良等により、予告なしに変更更される場合があります。 本マニュアルに記載されている社名、団体名および製品名は、各社あるいは各団体の商標または登録 商標です。 印刷を含め、本マニュアルを複製、譲渡、貸与、翻案、翻訳または公衆送信することはできません。 本マニュアルの無断転載を禁じます。 © 2015 HDE, Inc
1. はじめに
1.1. HDE アクセスコントロールで使⽤用する⽤用語
HDE アクセスコントロール(以降降、HAC)では、いくつか特有の⽤用語を⽤用います。 以下、各⽤用語についての説明を記載します。 ⼊入場証 ⼀一度度ログインに成功したブラウザには、「⼊入場証」がセットされます。この⼊入場証の有無によって、 アクセスを許可したり拒否したりすることができます。⼊入場証は電⼦子署名されており、簡単に偽装で きないようになっています。 OTP(ワンタイムパスワード)HAC では、⼆二要素認証として OTP(One-‐‑‒Time Password)を利利⽤用することができます。OTP とは、 ごく短い有効期限のパスワードのことです。HAC の OTP は、時間によって変化する TOTP(Time-‐‑‒ Based One-‐‑‒Time Password)です。有効期限は 30 秒です。
OTP・OTP 共有鍵 時間によって変化するとはいえ、全アカウントが同じ OTP ではセキュリティが保たれないので、ロ グインする⼈人ごとに⼀一⼈人⼀一⼈人違う OTP が⽣生成されます。その OTP を⽣生成する鍵になる数字が、 OTP 共有鍵です。この数字を知られてしまうと、OTP を⽣生成することができるようになるため、 OTP 共有鍵は機密情報として、簡単に⾒見見られないよう、厳重に管理理する必要があります。 (OTP 共有鍵の例例)
なお、「HDE OTP Generator」等のスマートフォン・アプリケーションを利利⽤用する場合、ユーザーの スマートフォンにインストールしたアプリケーションと HAC とで、同じ OTP 共有鍵を共有します。 アプリケーションへの OTP 共有鍵の取り込みは、HAC ユーザー画⾯面に表⽰示される QR コードを、ス マートフォンのカメラで撮影することで⾏行行います。
なお、HAC のOTP は「OATH HOTP and TOTP (RFC-‐‑‒4226)」という規格に基づいて⽣生成されま
すので、この規格に沿った OTP 発⽣生機があれば、「HDE OTP Generator」以外のアプリケーション での利利⽤用も可能です。 アクセスポリシーグループ アクセスポリシーグループは、ユーザーのアクセスについての制限を記載したアクセスポリシーのグ ループです。ユーザーは、必ず 1 つだけのアクセスポリシーグループに所属します。特に指定をせず にユーザーを追加した状態では、「0 番(グループ名:DEFAULT)」が設定されます。
HDE SECURE BROWSER
HDE Secure Browser(以降降、HSB)は、スマートデバイスの紛失等によるデータの流流出を防ぐた め、HDE が開発した専⽤用のブラウザです(http://www.hde.co.jp/cloud/browser/ja/)。HSB で は、メールの閲覧等は可能ですが、メールに添付されたデータをダウンロードすることができないた め、端末にデータを残すことができません。そのため、スマートデバイスを紛失した際に、第三者が データを覗き⾒見見るリスクを軽減することができます。 また、HSB と HAC を組み合わせて使うことで、HSB がインストールされている端末からのみアク セスを許可し、それ以外のスマートデバイスからのアクセスは禁⽌止するといった運⽤用も可能となりま す。
2. HAC 管理理画⾯面
2.1. ログイン URL
HAC 管理理画⾯面のログイン URL 情報です。 管理理者⽤用設定画⾯面 https://ap.ssso.hdems.com/admin/お客様ドメイン名/ ログイン画⾯面のサンプル画像です。2.2. 管理理画⾯面メニュー
HAC 管理理画⾯面にログインすると、以下の様なトップページが表⽰示されます。 設定メニュー ログインユーザー情報 設定フィールド3. システム
3.1. ドメインの設定
ドメイン設定のメニューでは、HAC のドメインに関する設定を⾏行行うことができます。3.1.1. ログイン画⾯面の設定
ログイン画⾯面の設定項⽬目は、以下の通りです。 タイトル⽂文字列列 ユーザーのログイン画⾯面に表⽰示するタイトル⽂文字列列です。デフォルトは 「{ドメイン名} Login」です。 ログイン状態保持の表⽰示 ログイン画⾯面に「ログイン状態を保持する」のチェックボックスを表⽰示 するか設定します。 ユーザー名のドメイン無視 ログインする際のユーザー名にドメインが含まれていてもログイン可能 にするか設定します。 タイトルロゴ画像 ユーザーのログイン画⾯面に表⽰示するロゴ画像です。表⽰示サイズは縦 120px 横 200px です。これ以上のサイズは⾃自動的に縮⼩小されます。3.1.2. パスワード関連の設定
パスワード関連の設定項⽬目は、Google Apps 版と Office365 版で異異なります。 Google Apps 版は以下の通りです。 パスワードポリシー ユーザーが新しいパスワードを作成する際のポリシーを次から選択して 設定します。 パスワード最低⽂文字数 ユーザーが新しいパスワードを作成する際の最低⽂文字数を設定します。 パスワードポリシー 表⽰示⽂文章 パスワードとして利利⽤用できる⽂文字列列の制限について、ユーザーのパスワ ード変更更画⾯面上に表⽰示する⽂文章です。(最⼤大 256 ⽂文字) パスワード有効期限 パスワードを設定してから、パスワードが有効である⽇日数を指定しま す。 パスワード有効期限到来時 のアクション パスワードの有効期限が切切れた場合に実⾏行行されるアクションです。 管理理者除外 パスワードポリシーを、管理理者権限を持つユーザーに適⽤用するが設定で きます。
Office365 版は以下の通りです。 パスワードポリシー ユーザーが新しいパスワードを作成する際のポリシーを次から選択して 設定します。 パスワード最低⽂文字数 ユーザーが新しいパスワードを作成する際の最低⽂文字数を設定します。 パスワードポリシー 表⽰示⽂文章 パスワードとして利利⽤用できる⽂文字列列の制限について、ユーザーのパスワ ード変更更画⾯面上に表⽰示する⽂文章です。(最⼤大 256 ⽂文字) パスワード有効期限 パスワードを設定してから、パスワードが有効である⽇日数を指定しま す。 パスワード有効期限到来時 のアクション(ブラウザ) ブラウザから Office365 をご利利⽤用時に、パスワードの有効期限が切切れた 場合に実⾏行行されるアクションです。 パスワード有効期限到来時 のアクション(リッチクライアン ト) パスワードの有効期限が切切れたとき、Outlook などのリッチクライアン トからのアクセスがあった場合に実⾏行行されるアクションです。 "何もしない。"を選択した場合、メールによる通知は⾏行行われません。パ スワードの有効期限が切切れた場合、認証が⾏行行われます。 "ロックアウトする"を選択した場合、有効期限切切れまで 7 ⽇日以内になる とメールによる通知が 1 度度⾏行行われます。通知メールは、ユーザのメール アドレスまたは Office 365 ID に送信されます。パスワードの有効期限 が切切れた場合、アクセスが拒否され認証が⾏行行われません。 ※パスワード期限通知メールのカスタマイズが可能です。 管理理者除外 パスワードポリシーを、管理理者権限を持つユーザーに適⽤用するが設定で きます。
3.1.3. プロビジョニングの設定(Google Apps 限定)
プロビジョニングの設定項⽬目は、以下の通りです。 プロビジョニング この管理理画⾯面で追加・編集・削除されたユーザー情報を Google Apps と⾃自動的 に同期します。 Google Apps の管理理者ユ ーザー 同期処理理に必要となる Google Apps の管理理者ユーザーを指定します。この設定 は同期処理理のために必須な情報です。3.1.4. セキュアブラウザ関連の設定
セキュアブラウザ関連の設定項⽬目は、以下の通りです。 ⾃自動端末認証 ユーザーからの端末認証要求を⾃自動で許可します。 端末認証通知メール 端末の認証要求を受け取った場合に送信される通知メールの宛先アドレスで す。空欄の場合は通知メールが送信されません。3.1.5. HDE One Access Control Directory Sync 接続設定
(Office365 限定)
HDE One Access Control Directory Sync の設定項⽬目は、以下の通りです。
HDE One Access Control Directory Sync 接続設定
HDE One Access Control Directory Sync から Office365 へユーザー 同期を⾏行行います。
3.1.6. その他の設定
その他設定項⽬目は、以下の通りです。 ロックアウト発動回数 パスワード⼊入⼒力力の失敗回数がこの回数を超えると、ロックアウトが発動 され、そのユーザーのアカウントにロックアウト期間の間ログインでき なくなります。 ロックアウト期間 ロックアウトが発動した場合に、⼀一時的にユーザーをログインできなく する期間を秒数で設定します。 ⼊入場証発⾏行行条件 ⼊入場証の発⾏行行条件を記述します。⼊入場証有効期限 ⼊入場証の有効期限を指定します。 ⼊入場証⽣生成鍵 ⼊入場証の⽣生成と真正性確認に使⽤用される鍵です。 タイムゾーン このドメインで使⽤用するタイムゾーンです。 ⾔言語 このドメインで使⽤用する⾔言語です。 ログアウトページの URL ログアウト後にリダイレクトされるページの URL です。
3.2. アクセスログ
アクセスログのメニューでは、ユーザーのアクセス情報を⼀一覧で確認することができます。特定の期 間でのアクセスログを確認したい場合は、「検索索期間」を絞り込んで、検索索を⾏行行ってください。3.3. ⼀一括登録ログ
⼀一括登録ログのメニューでは、ユーザーの⼀一括登録を⾏行行った場合のログを確認することができます。4. ユーザー
4.1. ユーザー⼀一覧
ユーザー⼀一覧のメニューでは、ユーザー情報の検索索・登録・変更更・削除を⾏行行うことができます。 Office365 では、以下のユーザー情報が表⽰示されます。ID HDE One へログインする際に使⽤用するユーザーID を表⽰示します。
表⽰示名 ユーザー情報の表⽰示名を表⽰示します。
Office365 ID(UPN) ユーザー情報の Office365 ID(UPN)を表⽰示します。Office365 上に登録 されたユーザー名(UserPrincipalName)項⽬目が表⽰示されています。 アカウントの状態 ユーザーアカウントのログインの可否を表⽰示します。 有効:ログイン可能なユーザー 無効:ログイン不不可能なユーザー 最新のログイン時間 ユーザーが最後にログインした⽇日時を表⽰示します。 ポリシー名 ユーザーが所属するアクセスポリシーの名称を表⽰示します。
Google Apps では、以下のユーザー情報が表⽰示されます。
ID HDE One へログインする際に使⽤用するユーザーID を表⽰示します。
表⽰示名 ユーザー情報の表⽰示名を表⽰示します。 メールアドレス ユーザー情報のメールアドレスを表⽰示します。Google Apps 上に登録さ れたメールアドレスが表⽰示されています。 アカウントの状態 ユーザーアカウントのログインの可否を表⽰示します。 有効:ログイン可能なユーザー 無効:ログイン不不可能なユーザー 最新のログイン時間 ユーザーが最後にログインした⽇日時を表⽰示します。 ポリシー名 ユーザーが所属するアクセスポリシーの名称を表⽰示します。 ユーザーごとの管理理メニューは、以下の通りです。(Office365・Google Apps 共通) ①ユーザー編集 ユーザー情報を編集します。 ②パスワード変更更 ユーザーのパスワードを変更更します。 ③ユーザー削除 ユーザーを削除します。 ④ユーザーログ ユーザーの Web ブラウザ経由でのアクセスログを表⽰示します。
4.1.1. ユーザー検索索
HAC 管理理画⾯面で下記の検索索項⽬目により、ユーザー情報の完全⼀一致検索索ができます。
Office365:[ID]列列、または、[Office 365ID(UPN)] 列列を検索索キーに指定する事ができます。 Google Apps:[ID]列列を検索索キーに指定する事ができます。
HAC 管理理画⾯面で検索索項⽬目を⼊入⼒力力し「検索索」ボタンをクリックすると、対象のユーザーが表⽰示されま す。「リセット」ボタンで検索索前の状態に戻ります。
4.1.2. 新規ユーザー登録
HAC 管理理画⾯面 ( https://ap.ssso.hdems.com/admin/ドメイン名/ )に管理理者権限ユーザーでログ インし、「ユーザー」メニューで、「ユーザー⼀一覧」-‐‑‒「新規ユーザー」ボタンをクリックし、ユーザ ーを登録します。
この際「メールアドレス」を、Google Apps または Office365 のメールアドレスと同じにしてく ださい。メールアドレスが無いユーザーは、HDE アクセスコントロールでの認証が成功しても、 Google Apps または Office365 にログインできません。
例例)「user1」で認証するユーザーを、Google Apps/Office365 の「[email protected]」として ログインさせたい場合は、「[email protected]」をメールアドレスに設定します。
「パスワード強制変更更」がチェックされている場合は、次回ログイン時に強制パスワード変更更が促さ れます。
「OTP 通知メールアドレス」は、OTP を使うまで空欄でも構いません。OTP を使う際にはアドレス を登録する事で、そのアドレス宛に OTP が通知されるようになります。
「アクセスポリシー」は初期では「DEFAULT」となります。アクセスポリシーを作成している場合 は、アカウントのポリシーを指定できます。
4.1.3. ユーザーの⼀一括登録・更更新
複数⼈人のユーザーをまとめて追加する場合は、「ユーザー」メニューで、「ユーザー⼀一覧」-‐‑‒「⼀一括登 録・更更新」ボタンをクリックし、ユーザー情報を記載した TSV ファイルを送信し、⼀一括登録を⾏行行い ます。 利利⽤用する TSV ファイルの形式、記載内容につい ては、「⼀一括登録・更更新」画⾯面の説明をご参照くださ い。なお、ユーザー情報の変更更、削除を⼀一括で実施する場合も、同メニューを使⽤用します。4.2. アクセスポリシーグループ
アクセスポリシーグループのメニューでは、アクセスポリシーの設定を⾏行行うことができます。4.2.1. アクセスポリシーグループの作成
新規にアクセスポリシーグループを作成する場合は、「ユーザー」-‐‑‒「アクセスポリシー」のメニュー から、「+新規アクセスポリシーグループ」をクリックして作成を⾏行行います。アクセスポリシーグループで設定する項⽬目は、以下の通りです。 表⽰示名 作成するアクセスポリシーグループの表⽰示名です。 認証クッキーの有効期限 ユーザーがログイン画⾯面において「ログイン状態を保持する」をチェ ックした場合に、cookie にログイン状態を保持する時間数(hours)で す。 アクセスを許可する条件 アクセスを許可する条件を記述します。 OTP を要求しない条件 OTP を要求しない条件を記述します。 OTP 共有鍵の変更更を許可する条件 ユーザーに OTP 共有鍵の変更更を認める条件を記述します。 OTP 通知メールアドレスの変更更を 許可する条件 ユーザーに OTP 通知メール送信先メールアドレスの変更更を認める条件 を記述します。 セキュアブラウザ設定画⾯面へのアク セスを許可する条件 セキュアブラウザ設定画⾯面へのアクセスを許可する条件を記述しま す。 Gmail 未読チェック設定の変更更を許 可する条件 ユーザーに Gmail 未読チェック設定の変更更を認める条件を記述しま す。※Google Apps 限定※ なお、アクセスポリシーグループで記述する条件式については、後述の 6. アクセス制御式 を参考く ださい。
5. アクセス制御式
5.1. アクセス制御式の基本
アクセスポリシーグループで制限を⾏行行う際には、「ユーザー」-‐‑‒「アクセスポリシー」メニューから各 アクセスポリシーを設定します。アクセスポリシーの各項⽬目には、さまざまな条件を「アクセス制御 式」で記述します。⼀一番単純なアクセス制御式は、 true です。これは「許可」を表します。また、 false は「拒否」を表します。その他、IP アドレスと and/or 等をつかって、必要な条件を記述することが できます。 必ず全て⼩小⽂文字で記述してください。記述例例1) ip4:123.123.123.123 or has_̲pass:true
⇒社内からのアドレス(123.123.123.123)または ⼀一度度ログインに成功した(⼊入場証を持つ)ブ ラウザを許可
記述例例2) ip4:123.123.123.123 or has_̲pass_̲within:30
⇒社内からのアドレス(123.123.123.123)または 30 ⽇日以内にログインに成功したブラウザを許 可
括弧や、not を使って、より複雑な条件を記述することも可能です。
記述例例3) (ip4:123.123.123.123 or has_̲pass_̲within:30) and (not (day:sat or day:sun)) and (time:1000-‐‑‒2000) ⇒例例2に加え、平⽇日の AM10 時〜~PM8 時のみ許可 上記のようなアクセス制御式を、アクセスポリシーグループ毎に設定することで、アクセス制限を実 施するのが基本的な仕組みです。たとえば営業部とその他でポリシーを分けたいときには、2つアク セスポリシーグループを作って、所属するユーザーを変えます。 なお、記述可能なアクセス制御式は以下の通りです。 ブーリアン定数 true false →全て⼩小⽂文字で記述 論論理理演算⼦子(⼆二項) and or 論論理理否定演算⼦子(単項) not 式のグループ化 () ログイン名 login_̲name:⽂文字列列 IPv4 範囲 ip4:{CIDR 表記指定} 時刻範囲 (両端含む) time:1000-‐‑‒1500[:{TZ}] *TZ 省省略略時は UTC →10:00:00 から 15:00:00 まで ⽇日付範囲 (両端含む) date:0101-‐‑‒0331[:{TZ}]
5.2. アクセスを許可する条件(デフォルト:true)
アクセスを許可する条件を記述します。空欄または無効の場合は全てのアクセスが許可されます。 記述例例) ⇒IP アドレス 123.123.123.123 からアクセス、または⼊入場証がある場合、アクセスを許可しま す。5.3. OTP を要求しない条件(デフォルト:true)
OTP を要求しない条件を記述します。空欄または無効の場合は OTP を要求しません。 記述例例) ⇒社内 IP アドレス(123.123.123.123)からのアクセスなら OTP を要求しません。例例えば、社 内 IP アドレス以外からのアクセス時には OTP を要求すると⾔言った設定が可能です。5.4. OTP 共有鍵の表⽰示を許可する条件(デフォルト:true)
ユーザーに OTP 共有鍵の変更更を認める条件を記述します。空欄または無効の場合は、ユーザーの設 定画⾯面に OTP の変更更設定メニューが表⽰示されます。例例えば、社員全員が初期設定をする期間には許 可、スマートデバイスが壊れてしまい、再設定が必要なときなどに⼀一時的に許可することが可能です。 記述例例1) ⇒全アカウントに OTP 共有鍵の変更更画⾯面を表⽰示します。 記述例例2) ⇒全アカウントにも変更更画⾯面を表⽰示しません。 ※通常はこちらの設定にしておくことを推奨いたします。 記述例例3) ⇒ユーザー「yamada」にのみ、変更更画⾯面を表⽰示します。5.5. OTP 通知メールアドレスの変更更を許可する条件(デフォルト:
true)
ユーザーに OTP 通知メール送信先メールアドレスの変更更を認める条件を記述します。空欄または無 効の場合は変更更を認めます。 記述例例1) ⇒全アカウントに、OTP を通知するメールアドレスの変更更画⾯面を表⽰示します。 記述例例2) ⇒全アカウントにも変更更画⾯面を表⽰示しません。5.6. セキュアブラウザ設定画⾯面へのアクセスを許可する条件(デフォ
ルト: true)
ユーザーにセキュアブラウザの認証設定を認める条件を記述します。空欄または無効の場合は変更更を 認めます。 記述例例1) ⇒全アカウントに、セキュアブラウザの設定画⾯面を表⽰示します。記述例例2) ⇒全アカウントに、セキュアブラウザの設定画⾯面を表⽰示しません。
5.7. 未読メールチェック設定の変更更を許可する条件(デフォルト:
true)
ユーザーにセキュアブラウザの未読通知設定を認める条件を記述します。空欄または無効の場合は変 更更を認めます。 記述例例1) ⇒全アカウントに、未読通知設定画⾯面を表⽰示します。 記述例例2) ⇒全アカウントに、未読通知設定画⾯面を表⽰示しません。5.8. アプリケーションからのアクセスを許可する条件(デフォルト:
true)
本項⽬目は Office 365 のみとなります。
リッチクライアント(ブラウザベースのアクセスコントロールログイン画⾯面を経由しない)からのア クセスを許可する条件を記述します。空欄または無効の場合は全てのアクセスが許可されます。 記述例例) ⇒社内 IP アドレス(123.123.123.123)または(111.111.111.111/24)からのアクセスを許可 します。
5.9. ⼊入場証発⾏行行条件(デフォルト: false)
⼊入場証の発⾏行行条件を記述します。空欄または無効の場合は発⾏行行しません。 ※本項⽬目のみ「システム」-‐‑‒「ドメイン設定」-‐‑‒「その他の設定」の項⽬目となります。 記述例例) ⇒社内 IP アドレス(123.123.123.123)からのアクセス時にログインが成功した成功したブラウ ザに対して、⼊入場証を配布します。6. よくあるアクセスポリシー例例
6.1. 設定例例 1
「社⽤用の PC 以外は、社外からのログインを拒否したい。」
社⽤用の PC に⼊入場証をセットすることでご希望の設定が可能です。 ※「社⽤用の PC」とは「社内からログインした実績のある PC」となります。1
アクセスポリシーグループのアクセス許可設定を下記のようにしてください。 (123.123.123.123 が社内 IP アドレスと想定します。)2
ドメイン設定で、⼊入場証を発⾏行行する条件に社内 IP アドレスを指定してください。3
これで、社内から⼀一度度ログイン認証に成功した PC には、⼊入場証がセットされ、社外から もアクセスできるようになります。6.2. 設定例例 2
「社⽤用の PC 以外は、社外からのアクセス時に OTP を要求したい。」
社⽤用の PC に⼊入場証をセットし、OTP 要求の条件に⼊入場証を設定することでご希望の設定が可能です。 ※「社⽤用の PC」とは「社内からログインした実績のある PC」となります。1
ドメイン設定で、⼊入場証を発⾏行行する条件を下記のようにしてください。2
アクセスポリシーグループの OTP 要求をしない条件を下記のようにしてください。3
これで、「社内からアクセスする PC」または「社内から⼀一度度認証に成功した PC」は、社外 からは OTP を要求されなくなります。⼀一⽅方、社内から認証に成功した実績の無い PC やス マートフォン(ブラウザ)でのアクセス時は、OTP を要求されるようになります。6.3. 設定例例 3
「社内ネットワークに接続できない PC に対して、⼊入場証をセットしたい。」
以下の⼿手順を踏むことで、実現が可能です。1
アクセスポリシーグループで、以下の条件でアクセスポリシーを作成下さい。 (123.123.123.123 が社内 IP アドレスと想定します。)2
⼊入場証発⾏行行条件に、以下を追加します。3
上記ユーザーに「⾮非常⽤用 OTP トークン」を伝えます。4
社内ネットワークに接続できない PC を利利⽤用するユーザーのアクセスポリシーグループ を、1 で作成したポリシーに変更更してください。5
⼊入場証をセットしたい PC のブラウザから、該当のユーザーでログインし、⾮非常⽤用 OTP ト ークンを⼊入⼒力力後ログインしてください(⼊入場証がセットされます)。7. FAQ
Q. ログイン画⾯面に、「このログインを記憶する」というチェックボックスがありますが、表⽰示させ ないようにできませんか。 A. はい、可能です。HAC 管理理画⾯面に管理理者権限でログインし、[ドメイン設定] – [ログイン画⾯面 の設定]で「編集」ボタンを押します。「ログイン状態保持の表⽰示」の項⽬目で、「隠す」を選択し、「送 信」を押します。 なお、アクセスポリシーグループの設定に「認証クッキーの有効期限」という設定項⽬目があります。 これを「0」にすることで、そのアクセスポリシーグループに所属するユーザーがそのチェックボッ クスをチェックした場合でも、認証をすぐに(ブラウザを閉じた際に)失効させることができます。 Q. 携帯電話(フィーチャーフォン)での利利⽤用は可能ですか。 A. 現在、弊社のアクセスコントロールサービスでは、フィーチャーフォンからのアクセスに対応を しておりません。なお、各クラウドサービスでもフィーチャーフォンの利利⽤用は推奨されておらず、ス マートフォンの最新ブラウザ、また、PC ブラウザでのアクセスが推奨されており、弊社サービスで も同様となります。 【例例:Google Apps 参考サイト】 https://support.google.com/mail/answer/38689?rd=1 https://support.google.com/a/answer/2473579?hl=ja Q. 誤って、アクセスさせたくない PC に⼊入場証をセットしてしまいました。 A. 膨⼤大な数の PC にセットしてしまった場合、またはその PC を⾃自由に操作できない場合には、⼊入場 証発⾏行行鍵を変更更してください。この場合、過去に発⾏行行したすべての⼊入場証が無効となりますので、ご 注意ください。また、PC を⾃自由に操作できる場合には、該当の PC のブラウザから「ap.ssso.hdems.com」に関す るクッキーを削除してください。 Q. 営業は特定業者の回線を使っているので、そこからの接続だけ許可したいのですが。 A. ⼀一般に、ISP の接続元 IP アドレス⼀一覧は公開されていませんので、IP アドレスでの制限での実現 は困難となります。OTP や⼊入場証など、別の⼿手段でのセキュリティ向上をご検討ください。 Q. アクセスポリシーを設定したいのですが、条件式の記述⽅方法が分かりません。 A. アクセスポリシーの条件式に関してご不不明な点がありましたら、設定を⾏行行ないたいポリシーの内 容を添えて、サポートチームまでお問い合わせください。 Q. プロビジョニング機能を利利⽤用しており、HAC 管理理画⾯面でユーザーの削除を⾏行行ないました。その 後、Google Apps 管理理画⾯面で確認したところ、該当のユーザーが削除されていませんでした。なぜ でしょうか。
A. HDE アクセスコントロールの管理理画⾯面で削除したユーザーは、Google Apps 管理理画⾯面では 「停⽌止ユーザー」、Office365 管理理画⾯面では「削除済みユーザー」となります。該当のユーザーを完 全に削除したい場合は、各サービス管理理画⾯面より、ユーザーの削除を⾏行行ってください。
