ご質問
Microsoft 365 や Google Workspace など、Access Control と連携しているサービス(以下SP)を利用している際、何度も繰り返し Access Control のログイン画面(認証画面)が表示され、頻繁に認証を要求されます。ログイン状態を長く保持し、認証の回数を減らすための設定方法や確認すべきポイントを教えてください。
回答
Access Control や SP のセッション有効期限が短く設定されている場合や、ブラウザのセキュリティ設定によってログイン情報が削除されている場合、頻繁に再認証を求められます。
ログイン頻度を下げるには以下の設定を確認してください。
[認証クッキーの有効期限]の設定
Access Control 認証画面からログインに成功した時に、ログインしたブラウザ上でログイン状態を保持する期間を設定します。
これにより、SP から Access Control へ再び認証要求が送られた場合であっても、ブラウザ上でAccess Controlのログイン状態が保持されている間はログイン操作をスキップできます。
- Access Control 管理画面より[アクセスポリシーグループ]の設定画面にて、任意のアクセスポリシーグループを選択し、 [ 認証クッキーの有効期限 ] を任意の数字に設定します。
[Access Control] アクセスポリシーグループの作成 / 編集 - [ドメイン設定]-[ログイン状態保持の表示]を[表示]に設定します。
[Access Control] ログイン画面の設定 - ユーザーがログインする際、認証画面で「ログイン状態を保持する」にチェックを入れることで、1 で設定した期間、ブラウザにクッキーが保持されます(ユーザー自身でログアウトした場合を除く)。
※チェックをしない場合、ブラウザを閉じると設定に関わらずログアウトします。
[セッション有効時間]の設定
シングルサインオン(SAML連携)している SP が、ログイン後に再認証を求めるまでの時間を設定します。
※この設定値の扱いは各 SP 側に依存します。
参考:SP 側のセッション設定
- Access Control 管理画面より[サービスプロバイダー設定]を開きます。
- 該当する SPの設定にある[セッション有効時間(時間)]の値を任意の数字に設定します。
SP 側のセッション設定
SP によっては、Access Control で設定した「セッション有効時間」を参照せず、SP 側で設定されたセッションの有効期限が優先して適用されます。
「セッション有効時間」を設定しているにも関わらず、頻繁に認証要求が発生する場合には、SP側のセッション保持期間に関する設定状況を確認してください。
例えば、Microsoft / Google 社からは、セッション保持期間について、次のような記事が公開されています。
※ SP 側の挙動やセッションの管理仕様は、各クラウドサービス側の仕様変更により、今後変更される可能性があります。
利用ブラウザの設定を確認する
Access Control や SP 側で設定していても、ユーザーが使用しているブラウザの設定によってはログイン情報が削除されることがあります。
特定のユーザーのみ頻繁にログインを求められる場合は、以下を確認してください。
- ブラウザを閉じたとき、クッキー(Cookie)を自動的に削除する設定になっていないか
- 履歴を保存しない設定(シークレットモードやインプライベートウィンドウなど)でアクセスしていないか
- サードパーティクッキーのブロック設定が有効になっていないか
参考
[Access Control] 連携サービスへの「セッション有効時間」と「認証クッキーの有効期限」との関係を知りたい
[Access Control] 連携サービスへのアクセス時に、認証が要求されないのはなぜですか?