OneLoginのポリシー設定で、よく使われている項目を利用シーンと合わせてご紹介します。
ブラウザ拡張設定
"Sign In"タブの"Browser Extention"項目を設定することで、ポリシーが割り当てられたユーザーが拡張機能を利用して、カスタムコネクタを作成ができるかどうかを設定できます。
以下のように設定することで、ポリシーが割り当てられたユーザーが拡張機能を利用してカスタムコネクタを作成することを防ぐことができます。
※意図しないコネクタの作成を防ぐため、以下の設定が推奨されます。
タイムアウト設定
"Session"タブの"Timeout"項目を設定することで、ユーザーのOneLoginサービスのタイムアウト時間を設定する事ができます。
"Time"を選択すると、指定した時間が経過したタイミングでタイムアウトされ、"Inactivity"を選択した場合、指定された時間、無活動だった場合にタイムアウトされます。
MFA設定
ユーザーに多要素認証を設定させるには、"MFA"タブの"One-time passwords"の項目を設定します。
"OTP Auth Required"にチェックを入れることで、該当ポリシーが割り当てられたユーザーは多要素認証の設定が必須の状態になります。
また、"Available factors"の項目で、ユーザーに利用可能な多要素認証の仕組みを選択できます。
※事前に"SETTINGS > Authentication Factors"で要素の追加が必要です。
”Users without a MFA device must register one before being able to login.”にチェックをすることで、該当ポリシーが適用されたユーザーは多要素認証を設定していない場合に、ログイン時に設定を行わせることができます。
また、”OTP bypassed for the following IP Addresses"の項目に拠点のグローバルIPを入力することで、そのグローバルIPからアクセスしたユーザーは多要素認証をパスすることができます。
IPアドレス制限
"IP Addressess"タブの設定項目に、拠点のグローバルIPをスペース区切りで入力することで、該当ポリシーのユーザーは指定されたグローバルIP以外からはOneLoginを利用することができなくなります。