ご質問
Access Control で「セッション有効時間」や「認証クッキーの有効期限」を設定したとき、連携サービス(以下SP)との認証にどのような影響があるのか、それぞれの関係性を教えてください。
回答
前提として、Microsoft 365 / Google Workspace などの SP と Access Control の SSO 設定時の関係は次の図のようになっており、SP 側が必要に応じて Access Control を呼び出しています。
セッション有効時間について
サービスプロバイダー設定にて設定可能な項目です。
シングルサインオン(SAML連携)している SP において、ユーザーが再認証を求められるまでの時間を設定します。
本項目を設定すると、認証後は、設定した時間を有効期限とするセッション情報がブラウザやアプリに保持されます。
ブラウザやアプリにセッション情報が保持されている(セッションが有効な)場合、下図のように Access Control の認証処理やログイン条件の判定を経由せず、そのままサービスへアクセスできます。
※ SP によっては、Access Control で設定した「セッション有効時間」を参照せず、SP 側で設定されたセッションの有効期限が優先して適用されます。
※ ブラウザの設定でクッキーを自動削除するようにしている場合、Access Control または SP 側でセッションの有効期限を設定していても、ブラウザに保存されたセッション情報が削除されるため、再認証が必要になる場合があります。
認証クッキーの有効期限について
アクセスポリシーグループにて設定可能な項目です。
ユーザーが HENNGE 認証画面で「ログイン状態を保持する」にチェックを入れてログインに成功した場合、設定した有効期限の間、そのブラウザ上で Access Control のログイン状態が保持されます。
※ ログイン情報はブラウザ単位で保存されます。別の端末や別のブラウザからアクセスした場合は、通常通り ID・パスワードの入力が必要です。
Access Control のログイン状態が保持されている場合、SP 側から IdP へ認証要求が行われても、下図のようにユーザーは Access Control 認証画面でのログイン操作(ID・パスワードの入力等)をスキップして、スムーズに各サービスへアクセスできます。
ログイン操作がスキップされても、アクセスポリシーによるアクセス制御は行われており、アクセスログにも記録されます。
※ ログイン画面に「ログイン状態を保持する」を表示させるためには、事前に、管理画面の[ドメイン設定]-[ログイン状態保持の表示]を[表示]に設定いただく必要があります。
※ 認証クッキーはブラウザ上で動作することを前提とした機能です。ブラウザ以外のアプリケーション(Office Apps など)では機能しない場合があります。
※ ブラウザがクッキーを自動削除する設定である場合、本機能が有効であっても毎回ログインを求められます。
参考
[Access Control] 連携サービスで何度も繰り返しログインを求められます(頻繁に認証が要求される)
[Access Control] 連携サービスへのアクセス時に、認証が要求されないのはなぜですか?