デフォルト・ドメインへの暗黙的アクセスの使用

サインオン・ポリシー

デフォルト・アイデンティティ・ドメインの管理者がロックアウトされるリスクを最小限に抑えるために、システムは暗黙的なブレーク・ガラス・ワークフローを作成します。このワークフローは、次の条件が適用される場合に作成されます。

• コンソールにアクセスするユーザーは管理者です。
• ユーザーはデフォルト・ドメインにアクセスしています。
• コンソールに適用可能なサインイン・ポリシーに特定のdeny文が存在しません。

例:

このシナリオでは、admin1、admin2、admin3およびuser1というユーザーを使用します。

要件:

• すべてのユーザーがデフォルトドメインのメンバーです。
• サインオン・ポリシーは、次のルールを同じ順序で構成します。
  ノート
  
  admin3ユーザーは、group1のメンバーです。
  • ルール1: Allow all administrators access except exclude the admin2。
  • ルール2: Allow all users who are members of group group1 access。

結果:

• admin1: アクセスが許可されます。サインオン・ルールの一致、明示的な拒否、管理者およびデフォルト・ドメインへのアクセスはありません。
• admin2: アクセスが拒否されました。ユーザーadmin2は、ルール1で明示的にアクセスを拒否されます。
• admin3: アクセスが許可されます。admin3ユーザーは管理者であり、group1のメンバーです。
• user1: アクセスが拒否されました。ユーザーuser1がどのルールとも一致しません。

アイデンティティ・プロバイダ・ポリシー

アイデンティティ・プロバイダ・ポリシーのアイデンティティ・プロバイダ・ルールが1つのSAMLまたはSOCIAL (OIDC)アイデンティティ・プロバイダのみで構成されている場合、コンソール・アクセスの暗黙的なブレーク・ガラス・ワークフローがトリガーされます。このような場合、コンソールのデフォルト・ドメインにアクセスすると、リモート・フェデレーション・パートナにユーザーをリダイレクトするのではなく、コンソールのサインイン・ページが常に表示されます。