管理者マニュアル
対象
HENNGE Access Control の初期設定や、運用管理を行う管理者が本記事内容の対象となります。
目的
HENNGE Access Control で新しいアクセス ポリシー グループを作成します。
注意事項
1. 本記事の内容は 2020 年 12 月時点での製品仕様に基づき作成しており、以後予告なく変更される場合があります。
2. 実際の画面確認や、設定の変更には HENNGE Access Control の管理者権限が必要です。
3. HENNGE Access Control 管理画面の URL は、お客様テナントより異なります。
アクセス URL 例 : https://ap.ssso.hdems.com/admin/[ メイン ドメイン ]
4. 各設定項目に入力可能なアクセス条件式の最大文字数は 4096 文字です。
詳細説明 / 手順
HENNGE Access Control への新しいアクセス ポリシー グループの作成は、HENNGE Access Control 管理画面の左メニュー [ ユーザー ] - [ アクセスポリシーグループ ] にて行います。
新規アクセス ポリシー グループの作成方法
1. HENNGE Access Control 管理画面の左メニュー [ ユーザー ] - [ アクセスポリシーグループ ] へアクセスします。
2. 左上の [ 新規アクセスポリシーグループ ] をクリックします。
3. 各項目を設定し、[ 送信 ] をクリックします。
4. ユーザーへ作成したアクセス ポリシー グループを割り当てます。
アクセス ポリシー グループの設定項目
※お客様のご契約により、表示される項目が変化します。
1. 表示名
アクセス ポリシー グループの名称となる設定値です。
※ 表示名の長さは 256 文字以下である必要があります。
2. 認証クッキーの有効期限
本設定値には以下 2 つの意味があります。
2.1. ユーザーがログイン画面において [ ログイン状態を保持する ] をチェックした場合 : ブラウザにてクッキーによるログイン状態を保持する時間です。
※ 認証クッキーがブラウザにセットされ、ブラウザの再起動などを行っても、一定期間はログイン状態が保持されます。
ただし、自身で画面からログアウトした場合をのぞきます。
2.2. ユーザーがログイン画面において [ ログイン状態を保持する ] をチェックしていない場合 / 表示していない場合 : HENNGE Access Control が所持するユーザーのログイン セッションの最高保持時間です。
※ [ ログイン状態を保持する ] をチェックしていない場合 / 表示していない場合、ブラウザを閉じると HENNGE Access Control よりログアウトされます。
デフォルトは 168 時間で、87600 時間以下の数値の設定が可能です。
0 を設定した場合は、ブラウザを閉じるとログインが無効となります。
3. アクセスを許可する条件
ユーザーからのログイン リクエストのアクセスに対する条件式を記載します。
空欄または無効の場合は全てのアクセスが許可されます。
一般的な設定例 :
・IP 制御 : ip4:xxx.xxx.xxx.xxx
・HENNGE Device Certificate 制御 (すべてのログインタイプ) : device_cert:any
その他の詳細な記載方法は、以下記事をご参照ください。
アクセス条件式の書き方
4. OTPを要求しない条件
OTP (ワンタイム パスワード)を要求しない条件式を記述します。
※ この項目に記載した条件式を満たさない環境からアクセスした場合に OTP を要求します。
空欄または無効の場合は OTP を要求しません。
詳細な記載方法は、以下記事をご参照ください。
アクセス条件式の書き方
5. OTP共有鍵の変更を許可する条件
ユーザーにて、HENNGE Lock などの Authenticator アプリケーションから OTP (ワンタイム パスワード) の発行をできるようにする設定が行える条件を記述します。
一般的な設定例 :
・設定を許可する場合 : "有効, true" / "無効"
・設定を許可しない場合 : "有効, false"
※ 赤枠部分がクリックできなくなります。
なお、[ OTP通知メールアドレスの変更を許可する条件 ] の設定も "有効, false" と設定した場合、ユーザー画面にて [ OTP (ワンタイムパスワード) 設定 ] が非表示となります。
その他の詳細な条件式の記載方法は、以下記事をご参照ください。
アクセス条件式の書き方
6. OTP通知メールアドレスの変更を許可する条件
ユーザーに OTP (ワンタイムパスワード) 通知メール送付先の設定 / 変更を許可する条件を記述します。
一般的な設定例 :
・設定を許可する場合 : "有効, true" / "無効"
・設定を許可しない場合 : "有効, false"
※ 赤枠部分がクリックできなくなります。
なお、[ OTP共有鍵の変更を許可する条件 ] の設定も "有効, false" と設定した場合、ユーザー画面にて [ OTP (ワンタイムパスワード) 設定 ] が非表示となります。
その他の詳細な条件式の記載方法は、以下記事をご参照ください。
アクセス条件式の書き方
7. セキュアブラウザ設定画面へのアクセスを許可する条件 ※HENNGE Secure Browserご契約の場合のみ
ユーザーに「HENNGE Secure Browser 設定」画面の表示・アクセスを許可する条件式を記述します。
空欄または無効の場合はアクセスを許可します。
「HENNGE Secure Browser 設定」画面 :
一般的な設定例 :
・表示・アクセスを許可する場合 : "有効, true" / "無効"
・非表示・アクセスを 許可しない場合 : "有効, false"
その他の詳細な条件式の記載方法は、以下記事をご参照ください。
アクセス条件式の書き方
8. 未読メールチェック設定の変更を許可する条件 ※HENNGE Secure Browserご契約の場合のみ
ユーザーに HENNGE Secure Browser の「未読チェック設定」画面の表示・アクセスを許可する条件式を記述します。
「HENNGE Secure Browser 未読チェック設定」画面 (Microsoft 365 の場合) :
一般的な設定例 :
・表示・アクセスを許可する場合 : "有効, true" / "無効"
・非表示・アクセスを 許可しない場合 : "有効, false"
その他の詳細な条件式の記載方法は、以下記事をご参照ください。
アクセス条件式の書き方
9. 自動端末認証 ※HENNGE Secure Browserご契約の場合のみ
HENNGE Secure Browser の端末認証を自動で行うかの設定になります。
※ 自動端末認証を有効とした場合、ユーザーからの HENNGE Secure Browser 利用申請は自動で承認されます。
以下設定が可能です。
・有効 : 自動端末認証を行う。
・無効 : 自動端末認証を行わず、管理者が管理画面にて端末認証を実施。
・既定値を使用 : [ ドメイン設定 ] - [ セキュアブラウザ関連の設定 ] - [ 自動端末認証 ] の設定値を使用。
10. アプリケーション(デスクトップ/モバイル)からのアクセスを許可する条件
※Microsoft 365 との連携時のみ
Microsoft 365 と連携してご利用の場合、Ws-Trust 認証を使用したログイン リクエストに対するアクセスの制御式を記載します。
空欄または無効の場合は全てのアクセスが許可されます。
詳細な記載方法は、以下記事をご参照ください。
11. 所有するデバイス証明書を表示する条件 ※HENNGE Device Certificateご契約の場合のみ
ユーザーに発行されている HENNGE Device Certificate (クライアント証明書) の一覧画面へのアクセスを許可する条件式を記述します。
「クライアント証明書」画面 :
一般的な設定例 :
・表示・アクセスを許可する場合 : "有効, true" / "無効"
・非表示・アクセスを 許可しない場合 : "有効, false"
その他の詳細な条件式の記載方法は、以下記事をご参照ください。
アクセス条件式の書き方
12. デバイス証明書の失効を許可する条件 ※HENNGE Device Certificateご契約の場合のみ
ユーザーより自身の HENNGE Device Certificate の失効可能とする条件式を記述します。
「HENNGE Device Certificate 失効」画面 :
一般的な設定例 :
・失効可能 : "有効, true" / "無効"
・失効不可 : "有効, false"
その他の詳細な条件式の記載方法は、以下記事をご参照ください。
アクセス条件式の書き方
13. 許可するサービスプロバイダー
HENNGE Access Control 管理画面 [ システム ] - [ サービスプロバイダー設定 ] にて連携したサービスへのアクセス制御の設定を行います。
・連携サービスへのアクセスを許可する : チェックを入れる。
・連携したサービスへのアクセスを許可しない : チェックを外す。