メインコンテンツへスキップ
English (US) 简体中文 繁體中文

[Access Control] 社用PC以外で社外からアクセスした際にOTPを要求する

ご質問

社用 PC 以外で社外からアクセスした際に OTP を要求することは可能でしょうか。

回答

アクセスポリシーグループで [OTPを要求しない条件] を設定することで実現可能です。
※ 「社用 PC」とは、「社内 IP アドレスからログインした実績のある PC」を指します。

手順

事前に、Access Control 管理画面の左メニュー [アクセス設定] - [アクセス ポリシー グループ] を開きます。

社外からのアクセス時は OTP を要求する設定

  1. OTP を要求したいユーザーが所属するアクセスポリシーグループに対し、下記の設定を実施します。

    • [アクセスを許可する条件] : [常に許可する]

    • [OTPを要求しない条件] : [以下の条件でOTPを要求しない] - 社内IPアドレスが設定されたアクセスポリシーテンプレート

この設定を行うことで、「社内IPアドレスからアクセスするデバイス」は、OTP を求められず、社外からアクセスした際にOTP が要求されます。

社外からのOTP要求.png

社内からのアクセス実績があるブラウザに入場証を発行する設定

  1. [ドメイン設定] - [その他] へアクセスします。

  2. [入場証(クッキー)] - [入場証発行条件] を [下記の条件で許可する] に設定し、社内IPアドレスが設定されたアクセスポリシーテンプレートを設定して [変更する] を押します。
    ※「常に許可する」に設定すると、「ログインに成功すると入場証が発行される」動作となります。
    複数のアクセスポリシーグループで異なるアクセス許可条件を設定している場合などに有用です。

    入場証発行条件の変更.png

  3. [アクセスポリシーグループ] - [アクセスを許可する条件] を 「常に許可する」に設定します。

  4. [アクセスポリシーグループ] - [OTPを要求しない条件] を有効にし、許可条件に「社内 IP アドレス または 入場証で許可する条件式」を次のように設定します。

    これにより、一度社内 IPアドレス からアクセスしたブラウザは社外からは入場証でログインすることができ、OTP は要求されません。

    社内IPまたは入場証の設定.png

注意事項

入場証は、入場証を発行したブラウザでのアクセスに限り有効です。
デスクトップアプリケーション、およびモバイルアプリケーションでは入場証は利用できません。