SaaS アプリケーションに安全にアクセスできるようにするために、アクセス ポリシーを構成する必要があります。アクセス ポリシーには、Workspace ONE ポータルにサインインしてアプリケーションを使用するために満たす必要のある基準を指定するルールが含まれます。

Workspace ONE UEM システムのアクセス ポリシーの詳細については、Workspace ONE Accessのドキュメントを参照し、「アクセス ポリシーの管理」を検索してください。[]

アクセス ポリシーの柔軟性

アクセス ポリシーを使用するとネットワークを臨機応変に制御できるため、ネットワーク外のアクセスを制限できます。たとえば、次のルールで 1 つのアクセス ポリシーを構成することができます。

  • 企業ネットワーク内でシングル サインオンによるネットワーク範囲のアクセスを許可する。
  • 企業ネットワークをオフにした場合、多要素認証 (MFA) に必要な同じポリシーを構成する。
  • 特定のデバイス所有形態タイプを持つ特定のユーザー グループへのアクセスを許可するポリシーを構成する。これにより、グループ以外のユーザーへのアクセスがブロックされます。

既定のアクセス ポリシーとアプリケーション固有のアクセス ポリシー

[既定のアクセス ポリシー] - Workspace ONE Access サービスおよび Workspace ONE UEM Console には、SaaS アプリケーション全体へのアクセスを制御する既定のポリシーが含まれています。このポリシーにより、すべてのユーザーが、あらゆるネットワーク範囲に、あらゆるデバイス タイプからアクセスできます。既定のアクセス ポリシーは編集できますが、削除することはできません。

重要: 既定のアクセス ポリシーの編集内容は、すべてのアプリケーションに適用され、Workspace ONE にアクセスするすべてのユーザーに影響を与える場合があります。

アクセス ポリシーのネットワーク範囲の追加

SaaS アプリケーションへのログインに使用できる IP アドレスでネットワーク範囲を定義します。SaaS アプリケーションにアクセス ルールを適用する場合、これらの範囲を割り当てます。Workspace ONE Access 展開と Workspace ONE UEM 展開用のネットワーク範囲が必要です。通常、組織のネットワーク部門にはネットワーク トポロジがあります。
  1. [リソース] > [アプリ] > [アクセス ポリシー] > [ネットワーク範囲] の順に進みます。
  2. 名前を選択して範囲を選択するか、[ネットワーク範囲を追加] を選択します。
  3. 範囲を定義するオプションを完了します。
    設定 説明
    名前 ネットワーク範囲の名前を入力します。
    説明 ネットワーク範囲の説明を入力します。
    IP 範囲 範囲内の該当するデバイスを含める IP アドレスを入力します。
    行の追加 複数の IP 範囲を定義します。

アプリケーション固有のアクセス ポリシーの構成

アプリケーション固有のアクセス ポリシーを追加して、SaaS アプリケーションへのユーザー アクセスを制御できます。

  1. [リソース] > [アプリ] > [アクセス ポリシー] > [ポリシーを追加]の順に進みます。
  2. [定義] タブのオプションを入力します
    設定 説明
    ポリシー名 ポリシーの名前を入力します。

    許容可能な名前基準には、次のパラメータが含まれます。

    • a ~ Z の大文字または小文字のいずれかの文字で始まる。
    • a ~ Z の大文字または小文字の他の文字を含める。
    • ダッシュ (–) を使用できる。
    • 数字を使用できる。
    説明 (オプション) ポリシーの説明を入力します。
    適用先 ポリシーを割り当てる SaaS アプリケーションを選択します。
  3. [構成] タブでオプションを設定し、[ポリシー ルールの追加] を選択するか、既存のポリシーを編集します。
    設定 説明
    ユーザーのネットワーク範囲 以前、ネットワーク範囲プロセスで構成したネットワーク範囲を選択します。
    ユーザーのコンテンツへのアクセス このポリシーの基準に従ってコンテンツにアクセスするデバイス タイプを選択します。
    ユーザーの属するグループ このポリシーの基準に従ってコンテンツにアクセスするユーザー グループを選択します。

    グループを選択しない場合、すべてのユーザーにポリシーが適用されます。

    このアクションを実行 認証を許可、認証を拒否、または認証なしでアクセスを許可します。
    ユーザーの使用する認証方法 コンテンツへのアクセスに使用する初期認証方法を選択します。
    上記の方法が失敗する場合、または適用できない場合 初期認証方法が失敗する場合、コンテンツを認証するフォールバック方法を選択します。
    フォールバック方法の追加 別の認証方法を追加します。

    システムは認証方法を上から下に処理するため、認証方法はシステムが適用する順で追加します。

    後に再認証 ユーザーがコンテンツへのアクセスを再認証するまで、許容可能なアクセス セッション時間を選択します。
    設定 - 高度なプロパティ 説明 - 高度なプロパティ
    カスタム エラー メッセージ ユーザー認証ができない場合、システムが表示するカスタム「アクセス拒否」エラー メッセージを入力します。
    カスタム エラー リンク テキスト ユーザー認証が失敗した場合、「アクセス拒否」エラー メッセージからユーザーを移動させるリンクのテキストを入力します。
    カスタム エラー リンク URL 失敗した認証画面からユーザーを移動させる URL アドレスを入力します。
  4. アプリケーション固有のアクセス ポリシーの [概要 ]が表示されます。

SaaS アプリとアクセス ポリシーのための Workspace ONE UEM と Workspace ONE Access の間の SSO

Workspace ONE UEM Console と Workspace ONE Access では、Workspace ONE UEM Console を介して Workspace ONE Access console にアクセスし、管理者が SaaS アプリの構成を操作できる、承認コードのワークフローが使用されます。このフローは、SaaS アプリケーションと Workspace ONE UEM 内のアクセス ポリシーに固有のフローです。Workspace ONE UEM で行われた追加および編集は、Workspace ONE UEM に反映されます。

セットアップ中に OAuth クライアントを登録する

Workspace ONE UEM Console で Workspace ONE Access のセットアップを行う際に、セットアップ ウィザードの一部として OAuth クライアントを登録します。OAuth クライアントの登録は、この SSO 機能が動作するための前提条件です。

ワークフロー

Workspace ONE Access と Workspace ONE UEM は、バックエンドで動作し、Workspace ONE UEM 管理者を Workspace ONE Access に認証します。Workspace ONE Access console は、Workspace ONE UEM に ID トークンを渡します。このトークンには、管理者が両方のコンソールにアクセスできるよう、管理者および認証に関する情報が含まれています。2 つのコンソールは、次の図に示すプロセスに従います。

Workspace ONE UEM と Workspace ONE UEM 間の SSO 通信を定義するワークフロー