Workspace ONE とコンディショナルアクセス
皆さんお疲れさまです。Seiyaです。
今回はWorkspace ONE Access(以下、Access)のコンディショナルアクセス機能について紹介しようと思います。
まず、コンディショナルアクセスとは条件付きアクセスとも呼ばれています。
これは対象のアプリケーションなどに対して接続を行う接続元の端末種別やユーザー、ネットワーク、認証方法などを条件に基づいて制御することを指します。
例えば、以下の図のような条件を付けることが可能です。
この図ではオフィスに設置されているデスクトップPCに証明書を事前にインストールしておき、SaaSアプリへの認証を行う際に証明書認証を実施しています。
また、BYODを含む社外から利用する端末については証明書を配布することは現実的ではないため、ID/PWの入力とiOS端末を利用した2要素認証を実施するように設定しています。
この時にAccessは端末がSaaSアプリへ接続する際のソースIPアドレスを識別し、オフィス内の端末であるか、持ち出し用端末かを判定しています。
そのため、Accessへ事前にオフィスのグローバルIPアドレスを設定し、設定したIPアドレスから接続が来た場合に証明書認証を行うようにするポリシーを設定する必要があります。
また、オフィス以外のIPアドレスから接続が来た場合はID/PW認証および2要素認証を行うようにするポリシーを設定します。
今回はコンディショナルアクセスについてのみの紹介となりましたが、SaaSアプリに対してAccessのアクセスポリシーを利用するためには事前にSAMLやWS-Federationを利用してSaaSアプリとAccessのID連携の設定を行う必要があります。
ID連携する方法はSaaSアプリごとに設定方法が異なるため、割愛しております。
しかし、既存で利用しているSaaSアプリに対してID連携を実施した場合、ユーザーの使用感が大きく変更されることに加え、設定が正しく無い場合はSaaSアプリ自体が利用できなくなる可能性があります。
可能であれば事前に検証環境などのユーザー影響の無い環境で動作確認を行い、実施してください。
検証環境がない場合は切り戻しの方法を含め、事前に検討しておくことを推奨します。
今回はコンディショナルアクセスについて紹介しました。
ポリシーは紹介した構成以外にも、利用ケースに合わせて柔軟に変更することが可能となっております。
以下のリンクよりWorkspace ONEのフリートライアルを申し込むことも可能ですので、一度ご検討してみてはいかがでしょうか。
これからもWorkspace ONEの便利な機能やユースケースを紹介していけたらと思いますので、今後も引き続き、ご愛読よろしくお願いします。