1

SAML認証で、ビル内のスペース毎にメンバーの入室制限をかけたい。


K
Koji.ohki

従業員は8千名弱、大きな拠点は千名以上の、大規模利用を想定しています。SAML認証でセキュアにログインできるものの、入場制限は全スペース同じになるので、セキュリティ上困っています。各スペースにて入場者を管理できるようにして欲しいです。

A

アクティビティ 新しい投稿順 / 古い投稿順

K

Koji.ohki

ご担当者様

お世話になります。早速のご回答ありがとうございます。
Whitelisted E-Mailを加えて、&条件にするということですね。
社内で検討させて頂きます。


Avatar

Technical Support Kando

早々にご確認いただきありがとうございます。

ご認識の通り、以下の方法にて「&条件」となります。
何卒ご検討のほどよろしくお願いいたします。
oViceテクニカルサポート


K

Koji.ohki

テクニカルサポートご担当者様

早速のご回答ありがとうございました。その方法はサポートの方からも聞いています。

1.セキュリティ上、ビル全体にSAML認証をかけたい。AzureAD連携&Server証明書のやり取りを1つにまとめたい(都度やりたくない)
2.Single Sign Onすることで、ID&Password入力レスとしたい。パスワード忘れの運用も要らなくなる(ADに押し付ける)
3.社員数が多いので、スペース毎に入場者管理をしたい。

というのが要件でして、連絡頂いた方法だと、上記のいずれかがNGになってしまいます。まずは3.を諦めて、同一の入場者ルールで業務設計しますが、恐らく全社利用8千名弱の展開になった所で、ノックアウトになると思います(それを見越して早期になるかもしれません)。


Avatar

Technical Support Kando

早々にご返信いただきありがとうございます。

3つの要件を満たす方法といたしまして、
以下の設定手順をご案内いたします。

1.ベースとするスペースにて、スペース設定「SSO」の「SAML2 MANAGEMENT」の設定を追加する

2.入場制限をしたいスペースのスペース設定「メンバーホワイトリスト」の「WHITELISTED EMAILS」に入場可能なユーザー様のメールアドレスを登録する。
※メールアドレスは、カンマ、スペース、改行などで区切られている場合、複数のメールアドレスをコピー&ペースト可能です。

3.2のスペース(入場を制限したいスペース)のスペース設定「Permission Inheritance」に、1のスペース(ベースとするスペース)のドメインを登録する

これにより、2のスペースは、以下のように1のスペースの条件かつ2のスペースの条件を満たす方のみを入場させることが可能です。
・1で設定したSAML認証でログイン可能なユーザー
・かつ、2で登録されたメールアドレスのユーザー

何卒ご確認のほどよろしくお願いいたします。
oViceテクニカルサポート


Avatar

Technical Support Kando

お世話になっております。
oVice テクニカルサポートでございます。

この度は、oViceをご検討いただきありがとうございます。
ご希望のご利用方法は、以下の内容でよろしいでしょうか。
・複数のスペースをひとつのビルに統合する
・各階に異なるSAML認証のアプリケーションを設定する

ビルとしてご利用いただく際、「入場制限を全スペース同じ」に設定するPermission Inheritanceという機能もございますが、
Permission Inheritanceを利用しないことで、各スペース毎に入場制限の条件を変えることが可能です。

そのため、Permission Inheritanceを利用せず、各スペースに、それぞれSAML認証の設定を行っていただくことで、
お客様のご希望に沿った運用を行っていただけると存じます。

何卒ご確認のほどよろしくお願いいたします。
oVice テクニカルサポート