新しいアクセス ポリシー グループを作成する (モダンビュー)

対象

HENNGE Access Control の初期設定や、運用管理を行う管理者が本記事内容の対象となります。

目的

HENNGE Access Control で新しいアクセス ポリシー グループを作成します。

注意事項

1. 本記事の内容は 2023 年 10 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。

2. 実際の画面確認や、設定の変更には HENNGE Access Control の管理者権限が必要です。

3. 管理画面へのアクセス方法は以下の記事をご参照ください。
 HENNGE Access Control 管理画面へのアクセス方法

4. 各設定項目に入力可能なアクセス条件式の最大文字数は 4096 文字です。

詳細説明 / 手順 

HENNGE Access Control への新しいアクセス ポリシー グループの作成は、HENNGE Access Control  管理画面の左メニュー [ ユーザー ] - [ アクセスポリシーグループ ] にて行います。
APG_no1.png

新規アクセス ポリシー グループの作成方法

1. HENNGE Access Control 管理画面の左メニュー [ ユーザー ] - [ アクセスポリシーグループ ] へアクセスします。

2. 右上の [ 追加 ] をクリックします。

3. 各項目を設定し、[ 送信 ] をクリックします。

4. ユーザーへ作成したアクセス ポリシー グループを割り当てます。

ユーザーへのアクセス ポリシー グループ割当て (モダンビュー)

アクセス ポリシー グループの設定項目

APG_no2_replace2.png

※お客様のご契約により、表示される項目が変化します。

1. 基本設定

1.1. 表示名

アクセス ポリシー グループの名称となる設定値です。

※ 表示名の長さは 256 文字以下である必要があります。

1.2. 認証クッキーの有効期限

本設定値には以下 2 つの意味があります。

ユーザーがログイン画面において [ ログイン状態を保持する ] をチェックした場合 : ブラウザにてクッキーによるログイン状態を保持する時間です。

※ 認証クッキーがブラウザにセットされ、ブラウザの再起動などを行っても、本設定にて設定した有効期限内はログイン状態が保持されます。

ただし、自身で画面からログアウトした場合を除きます。

ユーザーがログイン画面において [ ログイン状態を保持する ] をチェックしていない場合 / 表示していない場合 : ユーザーのログイン セッションにおける最大の保持時間です。

ユーザーが本設定にて設定された時間を超過して 1 つのページを開き続けていた場合、ページの遷移時に再度ログインが求められます。

※ [ ログイン状態を保持する ] をチェックしていない場合 / 表示していない場合、ブラウザを閉じると HENNGE Access Control よりログアウトされます。

デフォルトは 168 時間で、1 時間以上 87600 時間以下の数値の設定が可能です。

空欄で設定した場合は、ブラウザを閉じるとログインが無効となります。

1.3. アクセスを許可する条件

[ 常に許可する ] を選択した場合は、全てのアクセスが許可されます。

[ 下記の条件で許可する ] を選択した場合は、アクセスを許可する条件式を記述します。

条件式を記述すると、その条件式に記述された条件下からのアクセスの場合のみ許可されます。

一般的な設定例 : 

・IP 制御 : ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate 制御 (すべてのログインタイプ) : device_cert:any

その他の詳細な記述方法は、以下記事をご参照ください。
アクセス条件式の書き方

[ 常に許可しない ] を選択した場合は、全てのアクセスが不許可となります。

1.4. レガシー認証を許可する条件 ※ Microsoft 365 との連携時のみ

  [ 常に許可する ] を選択した場合は、全てのレガシー認証によるアクセスが許可されます。

  [ 下記の条件で許可する ] を選択した場合は、 SAML ECP と Ws-Trust 認証を使用したログインリクエストを許可する条件式を記述します。

条件式を記述すると、その条件式に記述された条件下からのアクセスの場合のみ、レガシー認証が許可されます。

一般的な設定例 : 

・IP 制御 : ip4:xxx.xxx.xxx.xxx

その他の詳細な記述方法は、以下記事をご参照ください。

アクセス条件式の書き方

[ 常に許可しない ] を選択した場合は、全てのレガシー認証によるアクセスが不許可となります。

2. ワンタイムパスワードの設定

2.1. OTP を要求しない条件

[ 常に OTP を要求しない ] を選択した場合は、OTP を要求しません。

[ 下記の条件で OTP を要求しない ] を選択した場合は、 OTP を要求しない条件式を記述します。

条件式を記述すると、その条件式に記述された条件下からのアクセスの場合のみ、 OTP を要求しません。

一般的な設定例 : 

・IP 制御 : ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate 制御 (すべてのログインタイプ) : device_cert:any

その他の詳細な記述方法は、以下記事をご参照ください。
アクセス条件式の書き方

[ 常に OTP を要求する ] を選択した場合は、常にOTPを要求します。

2.2. OTP 共有鍵の変更を許可する条件

  [ 常に許可する ] を選択した場合は、常に OTP 共有鍵の変更を許可します。

[ 下記の条件で許可する ] を選択した場合は、ユーザーにて、HENNGE Lock などの Authenticator アプリケーションから OTP (ワンタイム パスワード)  の発行をできるようにする設定が行える条件式を記述します。

条件式を記述すると、その条件式に記述された条件下からのアクセスの場合のみ、 OTP 共有鍵の変更を許可します。

一般的な設定例 : 

・IP 制御 : ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate 制御 (すべてのログインタイプ) : device_cert:any

その他の詳細な条件式の記述方法は、以下記事をご参照ください。
アクセス条件式の書き方

[ 常に許可しない ] を選択した場合は、常に OTP 共有鍵の変更を許可しません。

※ 赤枠部分がクリックできなくなります。
OTP.png

なお、[ OTP 通知メールアドレスの変更を許可する条件 ]  の設定も[ 常に許可しない ] と設定した場合、ユーザー画面にて [ OTP (ワンタイムパスワード) 設定 ] が非表示となります。
otp.png

2.3. OTP 通知メールアドレスの変更を許可する条件

  [ 常に許可する ] を選択した場合は、OTP 通知メールアドレスの変更を許可します。

[ 下記の条件で許可する ] を選択した場合は、ユーザーに OTP (ワンタイムパスワード) 通知メール送付先の設定 / 変更を許可する条件式を記述します。

条件式を記述すると、その条件式に記述された条件下からのアクセスの場合のみ、OTP 通知メールアドレスの変更を許可します。

一般的な設定例 : 

・IP 制御 : ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate 制御 (すべてのログインタイプ) : device_cert:any

その他の詳細な記述方法は、以下記事をご参照ください。
アクセス条件式の書き方

[ 常に許可しない ] を選択した場合は、常に OTP 通知メールアドレスの変更を許可しません。

※ 赤枠部分がクリックできなくなります。
otp_mail.png

なお、[ OTP 共有鍵の変更を許可する条件 ] の設定も [ 常に許可しない ] と設定した場合、ユーザー画面にて [ OTP (ワンタイムパスワード) 設定 ] が非表示となります。
otp.png

3. 証明書の設定

3.1. 所有するデバイス証明書を表示する条件 ※ HENNGE Device Certificate ご契約の場合のみ

[ 常に許可する ] を選択した場合は、常に所有するデバイス証明書を表示します。

[ 下記の条件で許可する ] を選択した場合は、ユーザーに発行されている HENNGE Device Certificate (クライアント証明書) の一覧画面へのアクセスを許可する条件式を記述します。

条件式を記述すると、その条件式に記述された条件下からのアクセスの場合のみ、所有するデバイス証明書が表示されます。

「クライアント証明書」画面 : 

hdc.png

一般的な設定例 : 

・IP 制御 : ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate 制御 (すべてのログインタイプ) : device_cert:any

その他の詳細な条件式の記述方法は、以下記事をご参照ください。
アクセス条件式の書き方

[ 常に許可しない ] を選択した場合、常に所有するデバイス証明書を表示しません。

3.2. デバイス証明書の失効を許可する条件 ※ HENNGE Device Certificate ご契約の場合のみ

[ 常に許可する ] を選択した場合は、常にデバイス証明書の失効を許可します。

[ 下記の条件で許可する ] を選択した場合は、ユーザーが自身の HENNGE Device Certificate の失効を可能とする条件式を記述します。

条件式を記述すると、その条件式に記述された条件下からのアクセスの場合のみ、デバイス証明書の失効を許可します。

「HENNGE Device Certificate 失効」画面 : 

hdc-disable.png

一般的な設定例 : 

・IP 制御 : ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate 制御 (すべてのログインタイプ) : device_cert:any

その他の詳細な条件式の記述方法は、以下記事をご参照ください。
アクセス条件式の書き方

[ 常に許可しない ] を選択した場合、常にデバイス証明書の失効を許可しません。

4. HENNGE Secure Browser の設定

4.1. セキュアブラウザ設定画面へのアクセスを許可する条件 ※ HENNGE Secure Browser ご契約の場合のみ

[ 常に許可する ] を選択した場合は、常にセキュアブラウザ設定画面へのアクセスを許可します。

[ 下記の条件で許可する ] を選択した場合は、ユーザーに「HENNGE Secure Browser 設定」画面の表示・アクセスを許可する条件式を記述します。

条件式を記述すると、その条件式に記述された条件下からのアクセスの場合のみ、セキュアブラウザ設定画面へのアクセスを許可します。

「HENNGE Secure Browser 設定」画面 : 

HSB.png

一般的な設定例 : 

・IP 制御 : ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate 制御 (すべてのログインタイプ) : device_cert:any

その他の詳細な条件式の記述方法は、以下記事をご参照ください。
アクセス条件式の書き方

[ 常に許可しない ] を選択した場合、常にセキュアブラウザ設定画面へのアクセスを許可しません。

4.2. 未読メールチェック設定の変更を許可する条件 ※ HENNGE Secure Browser ご契約の場合のみ

  [ 常に許可する ] を選択した場合は、常に未読メールチェック設定の変更を許可します。

[ 下記の条件で許可する ] を選択した場合は、ユーザーに HENNGE Secure Browser の「未読チェック設定」画面の表示・アクセスを許可する条件式を記述します。

条件式を記述すると、その条件式に記述された条件下からのアクセスの場合のみ、未読メールチェック設定の変更を許可します。

「HENNGE Secure Browser 未読チェック設定」画面 (Microsoft 365 の場合) :
mceclip0.png

一般的な設定例 : 

・IP 制御 : ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate 制御 (すべてのログインタイプ) : device_cert:any

その他の詳細な条件式の記述方法は、以下記事をご参照ください。
アクセス条件式の書き方

[ 常に許可しない ] を選択した場合、常に未読メールチェック設定の変更を許可しません。

4.3. 自動端末認証 ※ HENNGE Secure Browser ご契約の場合のみ

HENNGE Secure Browser の端末認証を自動で行うかの設定になります。

※ 自動端末認証を有効とした場合、ユーザーからの HENNGE Secure Browser 利用申請は自動で承認されます。

以下の設定が可能です。

・デフォルト : [ ドメイン設定 ] - [ セキュアブラウザ関連 ] - [ 一般 ] -  [ 自動端末認証 ] の設定値を使用する。

・有効 : 自動端末認証を行う。

・無効 : 自動端末認証を行わず、管理者が管理画面にて端末認証を実施

5. 許可するサービスプロバイダー

HENNGE Access Control 管理画面 [ システム ] - [ サービスプロバイダー設定 ] にて連携したサービスへのアクセス制御の設定を行います。

以下の設定が可能です。

・連携サービスへのアクセスを許可する : チェックを入れる。

・連携したサービスへのアクセスを許可しない : チェックを外す。

関連記事 

HENNGE Access Control 管理者ヘルプ

          
この記事は役に立ちましたか?