Cloud Gate SSO PC 端末制限機能 株式会社インターナショナルシステムリサーチ 1
はじめに PC 端末制限機能とは 許可された IP 以外から Google Apps にアクセスする際 1 ユーザに対して ユーザの指定した PC 端末 ( ブラウザ ) をログイン許可するための Cloud Gate SSO の機能です 1 ユーザに対し複数台の許可が可能 本資料では 以下の項目に沿って機能を解説します 1. PC 端末制限機能の仕組み 2. 個人端末 PCと社用端末 PC new! 3. 個人端末 PCの登録方法 4. 個人端末 PCの変更 5. 個人端末 PC 複数台登録について 6. 社用端末 PCの登録方法 new! 7. 社用端末 PCの変更 new! 2
PC 端末制限機能の仕組み Step1: まず 未登録の PC 端末から Gmail にアクセスすると SSO 認証後 PC 端末 ID 登録画面に遷移します 登録 をクリックすると 利用したい端末のブラウザに Cookie を利用した許可証を発行します 許可証 SSO 認証 (ID とパスワードでログイン ) Cloud Gate SSO ASP 利用 PC 端末登録画面 Step2: 次回以降 Gmail にアクセスすると SSO 認証の際に許可証の有無を Cloud Gate が確認し 許可証のある端末であれば Google Apps サービスにログインします Cloud Gate SSO ASP SSO 認証 (ID とパスワードでログイン ) + 許可証のチェック 3
個人端末 PC と社用端末 PC PC 端末制限機能には 個人端末 PC 社用端末 PC の 2 つのオプションをご用意しています 個人端末 PC 個人端末 PC は ユーザアカウントに対し 任意の PC 端末を登録させる権限を付不し その PC 端末からのみアクセスを許可する機能です 社用端末 PC 社用端末 PC は まず管理者が社用端末 PC としてブラウザに許可証を発行し かつ登録した社用端末 PC からのアクセスを 管理者が任意のユーザアカウントに対し許可します アカウント ID 利用可能な端末台数は管理者で設定可能 許可証をもった PC( ブラウザ ) アカウント ID 利用可能な端末は管理者が 社用端末 PC の許可証を発行済の端末 端末 ID 個人端末 PC 制限が適用されたユーザ Cloud Gate から発行された個人端末 PC の許可証を持つ PC 社用端末 PC 制限が適用されたユーザ Cloud Gate から発行された社用端末 PC の許可証を持つ PC 4
個人端末 PC の登録方法 個人端末 PC の登録と利用のフロー 管理者 セキュリティ設定 1) 管理者 SSO 管理画面より 個人端末 PCの利用を許可するユーザのプロファイルに対しセキュリティ設定を適用 2) ユーザ 利用したいPC 端末の利用したいブラウザを用いて Gmailにアクセス SSO 画面にリダイレクト プロファイル適用 ユーザ ユーザ 3) ユーザ SSO ログイン画面で ユーザ自身の ID とパスワードを入力 4) ユーザ PC 端末登録画面に遷移ユーザーは任意の名前をつけて 登録出来ます ( 登録後は遷移されません ) SSO ログイン ユーザ自身の ID とパスワードでログイン 以上 4 ステップの登録を完了後 Google Apps にログイン 5
個人端末 PC の変更方法 SSO 管理画面より 各ユーザアカウントの設定画面にて PC 端末制限のチェックにより利用可 丌可の変更が可能です ユーザ名 登録端末を変更したい場合は この画面より個人端末 PC の端末名右側のクリアボタンを押下して 適用 する ユーザは前項の手順を再度実施 6
注意点 iphone(softbank) BalckBerry(DoCoMo) その他 Windows Mobile 端末 海外メーカのスマートフォン等一部機種に関する制限は この PC 端末制限機能を利用してください ( 端末 ID が無いため 携帯端末制限機能は対象外となります ) Willcom 製スマートフォン W-ZERO3 シリーズ につきましては 携帯端末制限 での制限となります また HYBRID W-ZERO3 につきましては PHS 回線にて接続頂く必要がございます (Willcom 側通信仕様により ドコモ回線での接続はサポート対象外となります ) 7
Q&A 1 Q1. 1 人のユーザで ノート PC と自宅の PC とで 2 台以上許可できますか? A1. 2010 年 3 月末バージョンアップで機能対応いたしました 詳しくは後続の資料をご参考ください Q2. ユーザから ブラウザの Cookie を削除してしまい ログインできなくなった と連絡がありました どうすればいいですか? A2. PC 端末の変更方法 に沿って一旦 登録済み PC 端末 をクリアしてください その後ユーザがログイン試行すると PC 端末登録画面に遷移します Q3. リモート IP 制限 と PC 端末制限 を併用しています 社内からアクセスするときも PC 端末を登録しないといけませんか? A3. IP アドレスを指定しているときは 許可 IP アドレスからであれば端末登録せずにログインできます 許可されていない IP アドレス ( 社外 ) からログイン試行があった時に PC 端末登録画面に遷移します 8
Q&A 2 Q4. 共有 PC1 台を複数のユーザで許可できますか? A4. 可能です これまでは 1 台の PC を複数ユーザで利用する場合は 許可証を持つブラウザを別々にする必要がありましたが 2010 年 3 月末バージョンアップで 同一ブラウザでも許可できるようになりました 共有 PC 同じブラウザ ユーザ A ユーザ B ユーザ C 9
個人端末 PC 制限 ~ 複数台許可の場合 10
複数台許可機能 個人端末 PC 制限機能で 登録可能端末を 2 台以上に設定することができます これにより 1 人のユーザが ( 社外から ) アクセスできる PC 端末を複数許可させることが可能になります 設定例 : ユーザ 会社のノート PC iphone 自宅の PC ご注意 複数台許可機能される場合 運用には十分ご注意ください ご利用の仕方によっては セキュリティホールになることもありえます 例えば 管理者が 2 台まで登録を許可する設定をしているにも関わらず ユーザが登録している PC 端末は 1 台のみであるというステータスは 第三者がユーザのパスワードをクラックして 丌正にもう 1 台を許可端末として登録してしまうなどのリスクをはらんだ状態になっていると言えます 11
設定方法 登録と利用のフローは 1 ユーザ :1 台の場合と同じです (P4 参照 ) SSO 管理者サイトのセキュリティ設定画面にてユーザに登録許可する PC 端末の最大数を設定します 登録許可端末数を登録済み端末数以下に変更する場合 登録可能数以上登録しているユーザの登録済端末は全てクリアされます たとえば 既に 3 台の PC 端末を登録しているユーザのセキュリティプロファイルを 3 台 2 台のように少ない数に変更した場合 許可した 3 台分の許可証はオールクリアされ 登録し直す必要があります 12
利用方法 管理者が設定 PC 端末登録画面 SSO ログイン画面 1 台目 ユーザ自身の ID/Pass でログイン ユーザ (2 台まで登録可 ) 2 台目 会社用ノート PC の FireFox や iphone などブラウザ名と合わせての登録を推奨します 許可証はブラウザに対して発行するため 1 つの端末で複数ブラウザを登録する場合 ブラウザ毎に登録が必要です 3 台目 アクセス制限されています のメッセージが表示され ログイン丌可 13
PC 端末の変更 ユーザが登録した端末名は SSO 管理者サイトの下記画面から確認できます ユーザ名 登録端末を変更したい場合は この画面より該当の端末名の横の クリア ボタンによってクリアします 14
社用端末 PC の登録方法 1/2 社用端末 PC の登録と利用のフロー 1/2 1) 管理者 SSO 管理画面より 社用端末 PCの利用を許可するユーザにセキュリティ設定を適用 SSO 管理者 許可 ユーザ 2) 管理者 SSO 管理者は 社用端末 PC 登録前に 管理者自身のセキュリティプロファイル設定に 社用端末 PC 制限 にチェックが入っていることを確認 SSO 管理者 15
社用端末 PC の登録方法 2/2 社用端末 PC の登録と利用のフロー 2/2 3) 管理者 許可したいPC 端末のブラウザを用いてGoogleAppsにアクセス 4) 管理者 SSOログイン画面で SSO 管理者自身のIDとパスワードを入力 5) 管理者 PC 端末登録画面に遷移 6) 管理者 社用端末 PCを選択し 登録 SSO 管理者 SSO 管理者の ID とパスワードでログイン この画面で 個人端末 PC を選択すると SSO 管理者のアカウントに紐付く個人端末 PC として登録されます また SSO 管理者自身のプロファイルで個人端末 PC に空きがない場合は個人端末 PC の登録ボタンが表示されません 16
社用端末 PC の利用 前項のステップを踏まえ 社用端末 PC 利用を許可されたユーザ が 社用端末 PC 許可証を保持した端末のブラウザ を使った時のみ ログインが許可されます + 社用端末 PC 社用端末 PC 許可ユーザ許可証保持ブラウザ = ログイン可能 たとえ 社用端末 PC 許可証を保持する PC のブラウザを使っても SSO のセキュリティ設定でユーザアカウントが社用端末 PC 利用を許可されていなければ ログインできません + 社用端末 PC 社用端末 PC 丌許可ユーザ許可証保持ブラウザ = ログイン丌可 17
社用端末 PC 一覧 社用端末 PC として登録した PC 端末の情報は SSO 管理画面より一覧で確認できます 18
社用端末 PC 一覧 2 一覧画面より 端末名称 を任意に定めることが可能です また 登録した社用端末 PC の削除もこの画面より行います 19
ありがとうございます! お問合せ先 株式会社インターナショナルシステムリサーチ TEL:03-5378-6011 FAX:03-5378-6012 メール :sales@isr.co.jp http://www.isr.co.jp/ 20