ご質問
Access Control のアクセスポリシーが有効な環境において、新規ユーザーを追加するとアクセス制御でログインできない可能性がある。
どのような設定が必要でしょうか。
回答
Access Control のアクセスポリシーが有効な環境において、新規ユーザーを追加する際の初回ログイン方法についてご案内します。
新規ユーザーは、デバイス証明書や OTP(ワンタイムパスワード)が未設定のため、既存ユーザーと同じ認証ポリシーではログインできない場合があります。 本記事では、初回ログイン時のみ一時的なアクセスポリシーを適用し、必要な設定完了後に正式なポリシーへ移行する運用方法をご紹介します。
初回ログイン用のアクセスポリシーを利用する
新規ユーザー向けに、初回ログイン時のみ適用するアクセスポリシーグループ(APG)を作成する方法です。 ユーザーは初回ログイン後にデバイス証明書や OTP を設定し、設定完了後に正式な APG へ移行します。
手順
- 新規ユーザー専用の一時 APG を作成します。
[Access Control] アクセスポリシーグループの作成 / 編集 - 一時 APG には、初回ログインに必要な条件のみを設定します。
例えば、デバイス証明書認証や OTP 認証を要求しない条件を設定します。 - 新規ユーザーを作成し、一時 APG を割り当てます。
[Access Control] 新規ユーザーの作成 / 編集 - ユーザーへ ID とパスワードを案内し、初回ログインを実施してもらいます。
- ログイン後、ユーザー自身でデバイス証明書や OTP を設定してもらいます。
[Device Certificate] デバイス証明書インストール手順一覧
[Access Control] OTP (ワンタイム パスワード) をアプリケーションで受け取る設定
[Access Control] OTP (ワンタイム パスワード) をメールで受け取る設定 - デバイス証明書および OTP の設定完了を確認したら、ユーザーを正式 APG に切り替えます。
運用上のポイント
- 一時 APG は初回ログイン専用として利用し、設定完了後は対象ユーザーを外してください。
- 正式 APG へ切り替えた後は、一時 APG の対象から外れていることを必ず確認してください。
- APG 切り替え後も既存セッションが残っている場合は、新しい認証条件を反映させるため、必要に応じて強制ログアウトを実施してください。
[Access Control] ユーザーを強制ログアウトさせる方法は?
補足:非常用 OTP を利用する方法
OTP の設定のみが課題の場合は、管理者が発行した非常用 OTP を利用して初回ログインすることも可能です。
非常用 OTP を利用する場合は、メール以外の安全なチャネル(チャットや SMS など)で共有してください。 また、ログイン後はユーザー自身で OTP の設定を完了させてください。
デバイス証明書による認証も必須としている場合は、非常用 OTP の利用前にデバイス証明書の配布・インストールを完了させる必要があります。
詳細は以下の記事をご参照ください。
[Access Control] OTP 発行方法と有効期限