HDEアクセスコントロール管理コンソールガイド: システム設定

本稿では、お客様の企業環境においてアクセスコントロール管理コンソールが適切に機能するように設定・カスタマイズするための手順を案内しております。

アクセスコントロール管理コンソールには3つの設定があります。システム設定、ユーザー設定、セキュアブラウザ設定です。この項ではシステム設定の説明を行います。ユーザー設定とセキュアブラウザ設定は別項にて説明致します。

この管理コンソールガイドは以下の6つの項目で構成されています:

1) ドメイン設定
2) アクセスログ
3) 一括登録ログ
4) APIクライアントの設定
5) 同期ログ
6) アクセスポリシーグループ

1) ドメイン設定

ドメイン設定は以下の4章からなります。

a) ログイン画面の設定
b) パスワード関連の設定
c) セキュアブラウザ関連の設定
d) その他の設定

a) ログイン画面の設定

☆ 1 - アクセスコントロール管理コンソールにログインします

https://ap.ssso.hdems.com/yourdomain/<yourdomain>

※<yourdomain>には、HDE Oneをご契約時にご連絡いただいた、お客様のメインドメインが入ります。

__________2018-03-28_19.37.11.png

☆ 2 - 管理コンソールにログインしたら、「ドメイン設定」をクリックします。その後、「編集」をクリックします。

__________2017-11-01_13.53.10.png

☆ 3 - 編集設定画面には以下のような設定箇所があります。

1) タイトル文字列 : HDEアクセスコントロールログイン画面および管理画面のタブに表示されるの名前を決める事が出来ます。

2) ログイン状態保持の表示 : HDEアクセスコントロールログイン画面に「ログイン状態を保持する」というチェックボックスを表示させるかどうかを設定できます。「ログイン状態を保持する」にチェックを入れてログインした場合、一定期間ブラウザやタブが閉じられて再起動されてもログイン状態は保持されます。

※ログイン状態の保持期間は「アクセスポリシーグループ」の「認証クッキーの有効期限」より設定できます。詳細については次の記事の「2) アクセスポリシーグループ」の「☆ 4」の「(b) 認証クッキーの有効期限」をご参照ください。

HDEアクセスコントロール管理コンソールガイド:ユーザー設定

3) ドメイン名を無視 : この設定を「有効」にした場合、ユーザー名に「username@yourdomain.com」、「username」のどちらを入力してもログインできるようになります。但し、以下の条件を満たしている必要があります。

 i) HDEアクセスコントロール上にはユーザーIDとして「username」が登録されていること。

 ※ユーザー名として「username@yourdomain.com」が登録されている場合は、本機能を無効に設定
  する必要があります

 ⅱ) 「yourdomain.com」がアクセスコントロールのメインドメインとして登録されていること。

4) デザイン : HDEアクセスコントロール管理画面、及びセキュアブラウザログイン画面を「クラシック」 or 「モダン」から選択することができます。

5) ロゴ画像 : ログインページのロゴ画像を変更することができます。

__________2017-11-01_13.56.05.png

b) パスワード関連の設定

☆ 1 - 「ドメイン設定」画面に戻ると以下のように「パスワード関連の設定」があります。そこで「編集」をクリックします。

__________2017-11-01_14.01.15.png

☆ 2 - 「パスワード関連の設定」画面では下図の様にいくつか設定項目があります。

__________2017-11-01_14.02.29.png

1) パスワードポリシー管理者は組織のセキュリティポリシーの要求に応えられるようユーザーのパスワードの強度を確保するために、ポリシーを設定する事が出来ます。ポリシーのリストは以下の通りです。

__________2017-11-01_14.07.29.png

2) パスワード最低文字数 : 管理者はここでパスワードの最低文字数を変更することが出来ます。(4-256文字)
3) パスワードポリシー表示文章 : ユーザーがパスワードを変更する際に表示される、メッセージです。
4) パスワード有効期限 : 管理者はパスワードの有効期限を設定できます。 (0-366日)
5) パスワード有効期限到来時のアクション(ブラウザ) : 管理者はパスワードの有効期限が切れた後のブラウザの動作を設定することができます。以下をご確認ください。

__________2017-11-01_14.08.35.png

6) パスワード有効期限到来時のアクション(リッチクライアント) : ユーザーがリッチクライアントアプリケーションを使っていてパスワードが期限切れになった場合、管理者はユーザーが新しいパスワードを設定するまでアプリケーションに対して何もしないよう設定するか、ユーザーのログインを禁止するか設定することができます。

__________2017-11-01_14.09.09.png

7) パスワード期限通知メール : 管理者が、パスワード期限切れの際にリッチクライアントにログイン出来ないような設定にしていた場合、ユーザーには通知メールが送られます。

8) 管理者除外 : 管理者を除外するために、このオプションを有効にしている場合、パスワード有効期限が切れても管理者はパスワード変更を求められません。

__________2017-11-01_14.09.48.png

c) セキュアブラウザ関連の設定

☆ 1 - 「ドメイン設定」画面に戻ると下図のように「セキュアブラウザ設定」があるので、「編集」をクリックします。

__________2017-11-01_14.12.01.png

☆ 2 - 「セキュアブラウザ設定」画面では以下の三つの設定ができます。

1) 自動端末認証 : この設定が無効になっている場合、全てのデバイスはHDEセキュアブラウザを使用する際管理者に認証が求められます。逆に言うと有効になっている場合、全てのデバイスはHDEセキュアブラウザを使用する際に管理者に認証を求められません。

2) 端末認証通知メール : ここにメールアドレスが入力されている場合、デバイスが認証要求を求めるたびに通知メールがこのメールアドレスに送信されます。

3) 未読通知を行うAzure ADテナントID : セキュアブラウザのOffice365の未読メール通知機能を利用するためには、通常各ユーザーのIMAP通信が有効になっている必要があります。
→IMAP通信が不許可の状態でも未読メール通知機能を利用する為には、本設定を行う必要がございます。詳細につきましては以下の記事をご参照ください。

Admin Consent を利用したセキュアブラウザ未読通知の管理設定

 

d) その他の設定

☆ 1 - 「ドメイン設定」画面に戻ると下図のように「その他の設定」がありますので、「編集」をクリックして下さい。

_1.png

☆ 2 - G SuiteでHDEアクセスコントロールをセットアップする為のサーバー証明書をダウンロードします。

__________2017-11-01_14.22.41.png

サーバー証明書は以下のセットアップで使用します。

1) Office365をご利用のお客様はこちらをご覧下さい:
  HDE アクセスコントロール : シングルサインオン セットアップ (Office 365)

2) G Suiteをご利用のお客様はこちらをご覧下さい:
  HDEアクセスコントロールの設定(G Suite)

☆ 3 - 「その他の設定」編集画面では以下の通りいくつかの設定があります。

_2.png

1) OTP発行者名 :OneTimePassword発行時の発行者名を設定できます。(OTPアプリにユーザーIDと共に表示)

2) ロックアウト発動回数 : 何回パスワードを間違えたらそのアカウントをロックアウトするのか、設定できます。(1-99回)

3) ロックアウト期間 : 1)でアカウントがロックアウトされた際の期間を設定できます。(0-5000000000秒)

4) 入場証発行条件:入場証発行条件を設定します。「無効」を選択した場合、入場証は発行されません。
「有効」を選択した場合、以下の条件を設定できます。また and や or で複合条件の設定もできます。

true : ログイン成功の都度、発行します。
ip4:(CIDR表記指定) : 指定したipアドレスからのログイン成功時に発行します。
login_name:(HDEアクセスコントロールID) : 指定したIDでのログイン成功時に発行します。
false : ログイン時に入場証を発行しません。
※例→ ip4:123.123.123.123/28 or login_name:hde_user

5) 入場証有効期限 : 入場証が発行されてから無効となるまでの期間を設定できます。(0-7300日)

6) 入場証生成鍵 : 入場証の生成鍵を変更すると、その時点で有効である全ての入場証を無効にできます。

7) タイムゾーン :アクセスログなどの表示される時間は、ここで設定したタイムゾーンに従います。

8) 言語 : セキュアブラウザの端末認証要求があった際の承認要求メールなどに使用される言語が設定できます。

9) ログアウトURL : ユーザーがHDEアクセスコントロールからログアウトした際に遷移するURLを設定できます.

2) アクセスログ

HDEアクセスコントロール管理画面より、ユーザーのアクセスログを確認できます。アクセスログには日時、ユーザー名、接続元ipアドレス、接続結果(成功、パスワード間違いなど)が含まれます。

※通常のブラウザ及びHDEセキュアブラウザからのアクセスのみご確認いただけます。Outlookなどのアプリケーションからのアクセスログの調査が必要な場合は、弊社Customer Success Guide にご依頼ください。

__________2017-11-01_14.27.33.png

3) 一括登録ログ

TSVファイルでのユーザー一括登録ログが表示されます。ログには日時と実行結果が表示されます。

__________2017-11-01_14.28.43.png

4) APIクライアント設定

お客様のActive DirectoryとHDEアクセスコントロールのユーザー連携を行う際に必要となる設定です。

詳細は弊社までお問い合わせください。

__________2017-11-01_14.32.09.png

5) 同期ログ

同期ログには、Active Directory連携時は、Active DirectoryからHDEアクセスコントロールへのユーザー情報同期結果が表示されます。

Active Directory非連携時には、HDEアクセスコントロールとOffice365/G Suiteとのユーザー同期結果が表示されます。

同期結果には日時と、同期元→同期先、追加/更新/削除/失敗したアカウントの各情報が含まれます。

__________2017-11-01_14.33.44.png

6) アクセスポリシーグループ

アクセスポリシーグループで設定可能な項目については、以下の記事をご参照ください。

アクセスポリシーグループで設定可能な項目

__.png

          
この記事は役に立ちましたか?

よくあるご質問

Powered by Zendesk