Workspace ONEのコンポーネントの一つにWorkspace ONE Accessというものがあります。その名の通り、主に「アクセス管理」を行うためのコンポーネントです。
他のアプリなどと認証連携を行うことでIdentity Providerの役割を果たすこともできるので、シングルサインオンを実現することもできますが、一番の目玉はコンディショナルアクセスを中心としたアクセス管理な気がします。
具体的なアクセス管理の方法ですが、「どこから」「誰が」「どのデバイスで」「どのアプリに」アクセスしたか、によって適用する認証方法を指定したり、またはアクセスを拒否したりなど柔軟に定義することができます。
はじめに、「どこから」については接続元のネットワーク単位で指定が可能です。
例えば、社内ネットワークからのアクセスかそれ以外といった形であらかじめ区別しておいて、社内ネットワークからのアクセスの場合はシンプルなパスワード認証だけにしておき、それ以外からのアクセスの場合は多要素認証とする、といったことが実現できます。
次に「誰が」についてですが、これはユーザーグループの単位で指定が可能です。
ユーザーグループについてはWorkspace ONE Access上に個別にグループを作成することもできますが、Workspace ONE AccessにはActive Directoryのユーザーグループを同期することもできるので、AD上の組織構成に応じて認証ポリシーを定義することもできたりするワケですね。
「どのデバイスから」という要素についてはざっくり言うと、どのOSまたはアプリからアクセスしているか、という定義です。
例えば、スマートフォンでは逐一パスワード入力を求められるとユーザビリティを損なうので証明書認証のみでアクセスを許可し、PCの場合はパスワード認証も必須にする、といった形でデバイスタイプごとに認証方法を区別したり、特定のアプリケーションにはPCからのアクセスは許可したいけどスマートフォンからはアクセスさせたくない...なんて場合などに、この定義を利用することで柔軟にポリシーを定義することができます。
「どのアプリに」については、作成したアクセスポリシーをどのアプリに適用するか、を指定することによって、アプリケーションごとに認証方法を区別して定義することができます。
この定義に前述のネットワーク範囲を組み合わせることで、センシティブなデータを扱うWebアプリへのアクセスは社内ネットワークからのアクセスに限定して、それ以外からのアクセスは認証を拒否する、なんてことができたりします。
では、先ほどの例でいう社内ネットワークからのアクセスは許可してをそれ以外をどう遮断するか、という点ですが、これは「どの認証方法を適用するか、またはアクセスを拒否するか」を指定することで実現します。シンプルに社内ネットワーク以外からのアクセスの場合は「アクセスを拒否」になるように指定すればよいワケです。
色々な要素でアクセス元やアクセス先のアプリを区別した後、最後に「適用する認証方法」を指定します。前述の、スマートフォンは証明書認証のみで許可するが、PCはパスワード+証明書認証必須とする、、なんていう定義もこの認証方法を選択して組み合わせることで実現します。
認証方法は1つのみ選択することもできますし、画像内にあるように「および」とつなげることで多要素認証にすることも可能です。
リモートワークなども否が応でも普及した昨今の情勢の中、様々なデバイスであらゆる場所で業務をする必要が出てきていますが、こんな感じでパターンに分けてアクセス方法を定義することで利便性を落とすことなく高いセキュリティレベルを実現することができるのではないかと思います。
コメント
コメントを投稿