ServiceNowをモバイルアプリから利用する場合、一般的にパブリックのインターネット経由でアクセスさせる必要があるため、アクセス元IP制限を外す必要がありました。しかし、2022年リリースのTokyoバージョンから基本的にはアクセス元IP制限をかけたまま、予め登録したモバイルアプリ(デバイス)を用いた場合のみ外部ネットワークからのアクセスを許可することができる、信頼できるモバイル アプリの適応認証(Adaptive Authentication for Trusted Mobile Apps)という機能が登場しました。この記事では機能の概要と設定方法を説明します。
適応認証(Adaptive Authentication)とは
信頼できるモバイル アプリの適応認証(Adaptive Authentication for Trusted Mobile Apps)は適応認証(Adaptive Authentication)の中の1機能なので、適応認証を知らない方はまずこちらの記事をご覧ください。
信頼できるモバイル アプリの適応認証(Adaptive Authentication for Trusted Mobile Apps)とは?
機能概要
信頼できるモバイル アプリの適応認証(Adaptive Authentication for Trusted Mobile Apps)とは、適応認証(Adaptive Authentication)において、フィルター基準(Filter Criteria)として、Trusted Mobile Appという、登録済みのモバイルデバイスを識別するためのフィルタを使えるようにするための部分を指します。
このフィルタを使うことで、次のようなアクセス制御を実現することができます。
- 基本的には社内ネットワークからのみにアクセスを制限
- 予め登録したモバイルアプリ(デバイス)に限って社外ネットワークからのアクセスを許可
背景 なぜこの機能が求められるか
ServiceNowをモバイルアプリから利用する場合、一般的にパブリックのインターネット経由でアクセスさせる必要があるため、少なくとも私の経験上、アクセス元IP制限を外す場合が多いです。モバイルデバイスからVPNで内部ネットワークに接続したり、セキュアウェブゲートウェイやプロキシを経由してアクセスすることでアクセス元IPを固定してIP制限をかける方法もありますが、利便性が低下しますし、特にBYODの場合はプライバシーの懸念もあることから、避けられることが多い印象です。
しかし近年、ユーザ側の設定漏れ・ミスによるクラウド保管情報漏洩の事案の多発や政府からの勧告の影響か、クラウド利用企業側でのクラウドセキュリティに関する意識が高まってきています。そのため、各企業内でセキュリティや内部統制に関わる部署がクラウド利用ポリシーを定めるケースが増えており、結果としてアクセス元IP制限を外すことが認められない場合も増えていくと思われます。このような状況化で、導入を行う部門(主にIT部門)は利便性やプライバシーとセキュリティポリシーの両立が求められます。このような場合に活用できるのが、信頼できるモバイル アプリの適応認証(Adaptive Authentication for Trusted Mobile Apps)です。
モバイルアプリ(デバイス)の登録(ペアリング)プロセス
モバイルアプリ(デバイス)を登録(ペアリング)するプロセスは次の通りです。
- アクセスが許可されている環境からログイン
ペアリング用のQRコードはServiceNowの画面上に表示されるため、まずはアクセスが許可されている環境でログインする必要があります。 - 画面上部自身のアイコン > プロファイル(Profile)よりプロファイルを開く
- 画面下部の関連リンク(Related Links)> 信頼できるモバイルデバイスを登録(Register a trusted mobile device)をクリックしてQAコードを表示
- アプリ側でQRコードをスキャンする
デフォルトでは未登録端末のアプリでログインしようとすると、ペアリングが求められます。プロパティを変更することで、アクセスが許可されている環境からログインしたときはペアリングを免除するようにすることもできます。 - 初回ログイン
初回ログインを行います。初回ログインの際はアクセスが許可されている環境(ネットワーク)からでなくてもOKです。
設定方法
基本的には下記の記事で説明している適応認証(Adaptive Authentication)の設定方法がわかっていれば問題なく作成できると思います。
その上で、この記事では次のような複雑な要件例の設定方法を説明します。
- 基本的には社内ネットワークからのみアクセス可能
- モバイルアプリを用いた場合のみ外部ネットワークからのアクセスが可能
- ただし、モバイルアプリを使えるのは事前に設定したユーザのみとする
設計方針
今回は、次の方針で設計します。
- IPフィルター基準(IP Filter Criteria)と”Trusted Mobile App”のフィルター基準を用いて、社内ネットワークまたは登録済みモバイルアプリからのみアクセスを許可するAllowタイプの認証ポリシー(Authentication Policy)を事前認証コンテキスト(Pre-Authentication Context)として設定
- モバイルアプリを使えるユーザの制限については、予めモバイルアプリ利用ユーザグループを作成した上で、グループフィルター基準(Group Filter Criteria)を用いて、登録済みモバイルアプリで外部からアクセスしてきていた場合であっても予め登録したユーザでない場合はアクセスを拒否するDenyタイプの認証ポリシー(Authentication Policy)を認証後コンテキスト(Post-Authentication Context)として設定
なお、特定のユーザグループのみ利用可能とする方法としては、モバイルアプリ(デバイス)登録のリンク(UI Action)の表示条件を制御するという方法も考えられます。
設定手順
手順は次の通りです。ここでは適応認証(Adaptive Authentication)プラグインの有効化等は完了しているとします。
- メニュー > 適応認証(Adaptive Authentication) > 認証ポリシー(Authentication Policies) > プロパティ(Properties)を開き、デバイス信頼フローの有効化(Enable Device Trust Flow)を“はい(Yes)”に設定
- グループを作成する(以下、名前は”Mobile App Users”と設定したとする)
- 手順2で作成したグループのユーザかどうかを判定するグループフィルター基準(Group Filter Criteria)をメニュー > 適応認証(Adaptive Authentication) > Filter Criteria(フィルター基準) > グループフィルター基準(Group Filter Criteria)より作成
- 社内ネットワークからのアクセスかどうかを判定するIPフィルター基準(IP Filter Criteria)をメニュー > 適応認証(Adaptive Authentication) > Filter Criteria(フィルター基準) > IPフィルター基準(IP Filter Criteria)より作成
- 設計方針に基づき、社内ネットワークまたは登録済みモバイルアプリからのみアクセスを許可するAllowタイプの認証ポリシー(Authentication Policy)をメニュー > 適応認証(Adaptive Authentication) > 認証ポリシー(Authentication Policies) > すべてのポリシー(All Policies)から作成
- 手順5で作成したポリシーをメニュー > 適応認証(Authentication Policy) > 認証ポリシーのコンテキスト(Auth Policy Contexts)> 事前認証のコンテキスト(Pre Authentication Context)で設定
- 設計方針に基づき、登録済みモバイルアプリで外部からアクセスしてきていた場合であっても予め登録したユーザでない場合はアクセスを拒否するDenyタイプの認証ポリシー(Authentication Policy)をメニュー > 適応認証(Adaptive Authentication) > 認証ポリシー(Authentication Policies) > すべてのポリシー(All Policies)から作成
※ 2022年12月執筆時点ではDOCS等への記載はありませんでしたが、Trusted Mobile Appのフィルターが認証後ポリシーでは使えなかったので、手順4で作成したIPフィルタで代用しています
- 手順7で作成したポリシーをメニュー > 適応認証(Authentication Policy) > 認証ポリシーのコンテキスト(Auth Policy Contexts)> 認証後コンテキスト(Post-Authentication Context)で設定
こちらで設定は完了です。
コメント