本稿では、お客様の企業環境においてHENNGE Access Control管理コンソールが適切に機能するように設定・カスタマイズするための手順を案内しております。
HENNGE Access Control管理コンソールには3つの設定があります:システム設定、ユーザー設定、HENNGE Secure Browser設定です。この項ではユーザー設定について説明します。システム設定とHENNGE Secure Browser設定は別項にて説明致します。
この管理コンソールガイドは以下の2章で構成されます:
1) ユーザー一覧
2) アクセスポリシーグループ
1) ユーザー一覧
☆ 1 - HENNGE Access Control管理コンソールにログインします,
*URL はサービス利用開始通知でご案内しています。
☆ 2 - "ユーザー" をクリックし、全てのユーザーの設定を開きます。
☆ 3 - 新しいユーザーを加えるためには「新規ユーザー」ボタンをクリックします:
☆ 4 - "新規ユーザー追加" ウィンドウで以下の様に必要な情報を入力します:
☆ 5 - 既存のユーザーを編集するには"編集" ボタンをクリックします:
☆ 6 - "ユーザー編集" ウィンドウにおいて必要な情報は以下の通りです:
☆ 7 - HENNGE Access Controlからユーザーリストをダウンロードする場合は"ダウンロード(TSV)" ボタンを押します:
☆ 8 - 複数のユーザーを一度に登録または更新する場合、"一括登録・更新" をクリックして下さい。
☆ 9 - "一括登録・更新" ウィンドウではユーザー情報が記録されたTSVファイルをアップロードするよう求められます。
☆ 10 - 以下は複数のユーザーを一度に作成、更新、または消去する際に作るスプレッドシートのサンプルです。
情報を正確に入力し終わりましたら、以下のウィンドウからTSVファイルをアップロードしてください。
☆ 11 - ユーザーを消去するには、"削除" アイコンをクリックしてください。
2) アクセスポリシーグループ
☆ 1 - HENNGE Access Control管理コンソールにログインします。
*HENNGE Access Control管理画面URL はサービス利用開始通知でご案内しています。
☆ 2 - "アクセスポリシーグループ" をクリックすると全てのアクセスポリシーグループに関する設定ウィンドウが開きます。新しいアクセスポリシーグループを加えるには、"新規アクセスポリシーグループ" ボタンをクリックするか、もしくは編集ボタンを押して既存のアクセスポリシーグループの設定を変更してください:
☆ 3 - アクセスポリシーグループの設定画面は以下のようになります:
☆ 4 - 以下はアクセスポリシーグループを構成するそれぞれの要素と、それらの設定用オプションに関する説明です。
(a) 表示名 : アクセスポリシーグループの表示名です。
(b) 認証クッキーの有効期限 : ユーザーが"ログイン状態の保持" にチェックを入れてログインした場合にログイン状態を維持する時間(1時間単位)とパスワード無しでログインを許可する時間です。
初期設定では1週間(168時間)です。0 に設定された場合、ブラウザウィンドウが閉じられるまでログイン状態を維持します。
(c) アクセスを許可する条件 : 有効の場合、設定された条件に合致した場合のみユーザーはアクセスできます。
(d) OTPを要求しない条件 : 有効の場合、設定された条件に合致した場合のみ、ユーザーはワンタイムパスワードを要求される事なくアクセス出来るようになります。言い換えると、条件に合わないユーザーはログインの際にワンタイムパスワードを要求されます。
*このルールは信用されていないネットワークもしくはドライブからサービスにアクセスしてくるユーザーのセキュリティを向上させる為に推奨されます。
(e) OTP共有鍵の変更を許可する条件 : 有効の場合、設定された条件に合致した場合のみ、ユーザーはHENNGE Access Controlユーザーコンソールを使ってスマートフォン用のワンタイムパスワードを設定/変更する事が出来ます。
(f) OTP通知メールアドレスの変更を許可する条件 : 有効の場合、ユーザーは設定された条件に合致した場合のみ、HENNGE Access Controlユーザーコンソールを使用して、Eメール経由でワンタイムパスワードの設定/変更が出来ます。
(g) HENNGE Secure Browser設定画面へのアクセスを許可する条件 : 有効の場合、設定された条件に合致した場合のみユーザーはHENNGE Access Controlユーザーコンソールを利用してHENNGE Secure Browserの設定にアクセス出来ます。
(h) 未読メールチェック設定の変更を許可する条件 : 有効の場合、設定された条件に合致した場合のみユーザーは未読Eメールのチェック対象を変更する事が出来ます。
(i) アプリケーションからのアクセスを許可する条件 : 有効の場合、設定された条件に合致した場合のみ、ユーザーは特定のデスクトップ/モバイルアプリケーションからのアクセスが許されます。
以下は使用可能な条件のリストです:
(a) 許可 もしくは 拒否 : true / false
条件入力フィールドに true か false を入力することで、アクセスポリシーグループがユーザーに特定のアクションを起こすことを許可もしくは制限することが出来ます。
以下の例ではHENNGE Access Controlユーザーコンソールにおいて全ユーザーに"OTP通知メールアドレスの変更を許可する条件" を禁止するために「false」を入力しています。
(b) And/OR 条件 : and / or
条件入力欄に2個以上の条件を入力する際は、and/or を条件の間に挿入してください。「and」は全ての条件が満たされなければならない場合、「or」は一つの条件が満たされていれば良い場合に使用します。
以下の入力例では二つの条件が「or」を挟んで同時に入力してあります。意味は、「ユーザーはどちらか一つの条件が合致していればアクセス出来る」です。
(c) ある条件を除外する場合 : not
「not」は下記の例のように、ある条件を除外する場合に使用できます。"一週間のうち土曜日と日曜日は、ユーザーはアクセス出来ません。またユーザーが平日にアクセス出来る時間帯は午前10時から午後8時までです。"
(d) 許可するネットワークを指定 : ip4:xxx.xxx.xxx.xxx
特定のネットワークに対してユーザーのアクセスを許可もしくは制限します。入力するのは目的のネットワークのパブリックIPアドレスでなければなりません。
(e) 特定のユーザーのアクセスを許可する : login_name:Username
特定のユーザーの特定のコントロールへのアクセスを許可する場合、以下のように入力欄に入力してください。下記の例では、ユーザーネームが「billgates」のユーザーのみがアクセスできます。「or false」はそれ以外のユーザーはアクセスを禁じられる事を意味します。
(f) 入場証クッキーのあるユーザーのみアクセスを許可する : has_pass:true
入場証クッキーを持っているユーザーにアクセス権限を与えるには、条件入力欄に以下の様に「has_pass:true」の一行を加えてください:
これはこのアクセスポリシーグループのユーザーがネットワーク 123.123.123.123 に接続している場合、または前回成功したログインで入手した入場証クッキーを所持している場合のみアクセスを許可する条件です。
(g) ある期間に発行された入場証クッキーを持つユーザーのみアクセスを許可する : has_pass_within:hours
ある期間に発行された入場証クッキーを持つユーザーのみにアクセスを許可するには「has_pass_within:hours」の一行を入力してください。「hours」には設定したい時間を入力してください。
以下の例では、このアクセスポリシーグループのユーザーはネットワーク 123.123.123.123 に接続されているか、システムより30時間以内に発行された入場証クッキーを所持している場合にアクセスが許可されます。