新バージョン(AppGWバージョン6以降)の設定方法
条件プロファイルの作成
- Settings > Policies > Conditions へ移動します。
- Condition プロファイルで、"Users require approval from an approver to access the application"を有効にし、次に"Immediate", "Scheduled", "Both"オプションから1つを選択します:
- Immediate:セッションごとにリアルタイムでの承認が必要です。
- Scheduled:予定されたセッションについては、事前の承認が必要です。
- Both:即時承認とスケジュールされた承認の両方が可能です。
- Saveをクリックして保存します。
- アプリケーションルール(condition)で、作成した条件プロファイルを選択し、次にSupervisor を選択します。
- Saveをクリックして変更を適用します。
旧バージョン(AppGWバージョン6以前)の設定方法
- Settings > Policies > Policies へ移動します。
- Policiesより、New Policyボタンを選択します。
/image-png-Mar-21-2022-11-54-16-37-AM.png?width=688&height=204&name=image-png-Mar-21-2022-11-54-16-37-AM.png)
- クリックすると、アプリケーションの権限付与に利用できるすべてのポリシーのオプションが展開されます。
/image-png-Mar-21-2022-11-55-28-18-AM.png?width=688&height=402&name=image-png-Mar-21-2022-11-55-28-18-AM.png)
- policy name は必須です。他のポリシーと重複しない一意の名称を入力する必要があります。
/image-png-Mar-21-2022-12-00-01-96-PM.png?width=310&height=81&name=image-png-Mar-21-2022-12-00-01-96-PM.png)
- 承認ポリシーアクセスの機能を有効にするには、アクセスポリシーのSupervisor approval を切り替える必要があります。
/image-png-Mar-23-2022-01-41-07-08-PM.png?width=688&height=50&name=image-png-Mar-23-2022-01-41-07-08-PM.png)
- 次に、そのアプリのSupervisor になるユーザーを選択する必要があります。 検索機能でユーザーを検索してください。
/image-png-Mar-23-2022-01-42-35-14-PM.png?width=688&height=327&name=image-png-Mar-23-2022-01-42-35-14-PM.png)
- users groups、applications、categories、configurationについては、マッピングしたいものを入力・選択してください。その後 Save をクリックします。
/image-png-Mar-23-2022-01-44-16-88-PM.png?width=688&height=544&name=image-png-Mar-23-2022-01-44-16-88-PM.png)
- ポリシーが追加されると、完了メッセージが表示されます。
/image-png-Mar-21-2022-06-12-58-03-PM.png?width=688&height=131&name=image-png-Mar-21-2022-06-12-58-03-PM.png)
- Supervised Policy Access を持つポリシーとそれ以外のポリシーを区別するための追加情報として、 labelsに "Supervised "と表示されます。
/image-png-Mar-23-2022-01-46-59-18-PM.png?width=688&height=365&name=image-png-Mar-23-2022-01-46-59-18-PM.png)
ポリシーがうまく実行されているかどうかをテストするには以下を確認する必要があります:
- 管理者がすでに作成したユーザーは こちらをご覧ください。
- ユーザーは既にMFAを登録済みであり、正常にログインする事ができる場合は 、こちらをご確認ください。
- ユーザーポータルを開くための推奨ウェブブラウザ。
Supervisor以外のユーザーがユーザーポータルにログインすると、そのユーザーがアクセス可能なすべてのアプリケーションが表示されます。/image-png-Mar-23-2022-01-50-18-41-PM.png?width=688&height=320&name=image-png-Mar-23-2022-01-50-18-41-PM.png)
管理者承認アクセスポリシーに既に関連付けられているアプリケーションをクリックしてください。 /image-png-Mar-23-2022-01-51-07-01-PM.png?width=283&height=239&name=image-png-Mar-23-2022-01-51-07-01-PM.png)
その後、アクセス理由の確認がポップアップ表示されますので、3つの選択肢からお選びください。 Other を選択した場合、詳細を入力する必要があります。/image-png-Mar-23-2022-01-53-02-41-PM.png?width=688&height=321&name=image-png-Mar-23-2022-01-53-02-41-PM.png)
新しいタブが開き、Supervisorからの承認プロセスを待っている情報が表示されます 。/image-png-Mar-23-2022-01-54-53-41-PM.png?width=688&height=316&name=image-png-Mar-23-2022-01-54-53-41-PM.png)
Supervisor側は、2つのメディアを通じて通知を受け付けます。
- 1つ目はSMSによるもので、以下の様な表示になります。
/image-png-Mar-23-2022-01-56-45-54-PM.png?width=334&height=201&name=image-png-Mar-23-2022-01-56-45-54-PM.png)
- 2つ目はユーザーポータル経由です。これはSupervisorタブに表示される通知です。
/image-png-Mar-23-2022-01-59-14-31-PM.png?width=688&height=170&name=image-png-Mar-23-2022-01-59-14-31-PM.png)
Supervisorが承認を拒否した場合、確認が求められます。 /image-png-Mar-23-2022-02-02-36-91-PM.png?width=350&height=153&name=image-png-Mar-23-2022-02-02-36-91-PM.png)
/image-png-Mar-23-2022-02-03-16-99-PM.png?width=350&height=188&name=image-png-Mar-23-2022-02-03-16-99-PM.png)
その後、承認をリクエストしたユーザーは、アプリケーションからこの通知を受け取ります。 /image-png-Mar-23-2022-02-04-30-77-PM.png?width=688&height=305&name=image-png-Mar-23-2022-02-04-30-77-PM.png)
Supervisor がユーザーポータル経由もしくは、SMS 経由でリクエストを承認した場合、承認待ちと表示されたリクエストのタブに表示されている「承認待ち」の状態は、アプリケーションにリダイレクトされます。/image-png-Mar-23-2022-02-08-35-60-PM.png?width=688&height=298&name=image-png-Mar-23-2022-02-08-35-60-PM.png)