質問
マニュアルにて、SSOのポリシーを確認したところ、定義されているグループ
(Developer、Support、System Ops、Admin)のいずれにもデフォルトで付与されていませんでした。
・1.3.1 ユーザー管理 > 1.3.1.3 ポリシー > 1.3.1.3.1 ポリシーと権限の一覧
管理者権限を持つAdminグループに対して、デフォルトでポリシーが付与されていない理由はありますでしょうか。
また、SSOを使われる場合にSSOのポリシーをAdminに付与する想定など、具体的な想定がございましたら教えていただきたいです。
回答
SSOに関する権限を持つポリシー「SSOFullAccess」につきましてですが、
ログイン運用の混乱をさけるためにAdmin等の定義済みのグループに対しては付与しておりません。
まず、SSO機能の仕様について以下にご説明いたします。
SSOを有効化する場合、「SSOFullAccess」ポリシーを所有するすべてのユーザーに対して一括で有効になります。
また、通常のログインを行うユーザーとSSOでログインするユーザーは同じメールアドレスを使用することができることから、SSOを有効に設定されたユーザーは、パスワードの入力や多要素認証(MFA)によるログインが使用できなくなります。
グループに対して「SSOFullAccess」ポリシーが定義されている場合、該当のグループに所属するすべてのユーザーは上記仕様の影響を受けます。
ですので、上記仕様によるログイン運用の混乱をさけるため、定義済みのグループに「SSOFullAccess」ポリシーは含まれておりません。
なお、本ポリシーにおける運用としましては、
管理者が通常ログインを行い、SSOを有効にするユーザーに対して別途「SSOFullAccess」ポリシーを割り当てたグループへ所属させる事を想定しております。
SSO機能の詳細につきましては、以下のチュートリアルも併せてご参照いただければと存じます。
・2. チュートリアル > B. HULFT Squareを使ってみよう > B.20 SSOでログインするためにHULFT Squareを設定してみよう
コメント
0件のコメント
記事コメントは受け付けていません。