ルール条件
セキュリティポリシー内のルールには、アクセスリクエストとMFAという2種類のユーザー認証および認可条件を含めることができます。アクセスリクエストとMFAの両方が有効な複数のルールがリソースにある場合、ユーザーはすべての条件が満たされる間はリソースにアクセスできます。
アクセスリクエスト、権限セット、ゲートウェイ条件が含まれるいくつかのルールを備えたポリシーをセキュリティ管理者がセットアップするシナリオを考えてみます。この場合、ユーザーには複数の接続オプションが提示されます。次の例では、各種条件を備えた複数のルールがポリシーに含まれます。結果として、ユーザーは5つの接続オプションを選択できます。ユーザーが特定のルールのすべての条件を満たす場合、リソースへのアクセスは許可されます。
ユーザーのアクセスリクエストが35分前に承認され、10分以内にMFAチャレンジを完了した場合、ルール2の条件が満たされるため、ユーザーはアクセスを許可されます。ただし、ユーザーのアクセスリクエストが28分前に承認され、MFAチャレンジを70分後に完了した場合、どの条件も満たされないため、ユーザーにはアクセス権は付与されません。
ルール1
- アクセスリクエスト:マネージャーの承認は30分間有効
- FMA:フィッシング耐性あり、再認証頻度は15分
ルール2
- アクセスリクエスト:マネージャーの承認は45分間有効
- FMA:フィッシング耐性あり、再認証頻度は10分
ルール3
- アクセスリクエスト:マネージャーの承認は60分間有効
- FMA:フィッシング耐性あり、再認証頻度は8分
ルール4
-
アクセスリクエスト:マネージャーの承認は15分間有効
ルール5
- FMA:フィッシング耐性あり、再認証頻度は5分
シークレット階層構造のルール
階層の異なるレベルにルールが定義されている場合、対象リソースの近くにリンクされているルールが優先されます。つまり、対象リソース自体にルールが定義されていれば、それらのルールは階層内の親フォルダーにリンクされているルールをオーバーライドします。対象リソースにルールが定義されていなければ、ルールに一致する最も近い親フォルダーが代わりに使用されます。
たとえば、A → B → Cというシークレットフォルダー構造について考えます。ユーザーがリソースCへのアクセスを試みると、権限が一致するCにリンクされたルールが適用されます。Cにルールは定義されていないが、AまたはBにルールが定義されていれば、Bのルールが適用されます。