アクセスパッケージを活用したJITアクセスの実現について
Igniteでアクセスパッケージを活用したDropBox(SaaSアプリ)へのJITアクセスについて説明されていましたが、仕組みがいまいち理解できなかったので、確認してみました。
グループとチーム
こちらで特定のグループ(たとえばグループAとする)を選択して、ユーザにアクセスパッケージが割り当たると、ユーザはグループAのメンバとなります(アクセスパッケージの割り当て有効期限を設定することで、一時的にグループAのメンバとすることができます)
JITアクセスを実現する方法(例)
Entra Internet Accessにおいて、Web フィルターで DropBox の FQDN を指定したセキュリティプロファイルを作成し、作成したプロファイルを条件付きアクセスポリシーとリンクさせ、その条件付きアクセスポリシーをグループAに対して割り当てることで、グループAのみDropBoxへアクセスさせることができます。そのグループAへのメンバ所属を、アクセスパッケージを使って一時的なものとすることで、JITアクセスが実現できます。Webフィルターベースでの制御を実現していますので、EntraとSSO連携をしていない社外サイト(DropBoxなど)へのJITアクセスも実現できます。
(参考記事)
アプリケーション
こちらで特定のアプリケーション(Entraの中の用語でいうと「エンタープライズアプリケーション」が適切だと思います)を選択し、ユーザにアクセスパッケージが割り当たると、対象のエンタープライズアプリケーション(以下はSalesforceの例)の以下にアクセスパッケージが割り当たっているユーザが追加されます(アクセスパッケージの割り当て有効期限を設定することで、一時的に以下に追加することができます)
JITアクセスを実現する方法(例)
たとえば、SalseforceとEntraがSSOの設定をしている場合、この「ユーザとグループ」に追加されているユーザのみが、Salesforceにアクセスできます。(そのため、アクセスパッケージの機能を使って、一時的に「ユーザとグループ」にユーザを追加させることで、EntraとSSO連携しているSalesforceへのJITアクセスが実現できます)
上記はSaaSアプリの例ですが、Entra Private Accessの設定においても、社内アプリとして、エンタープライズアプリケーションに対象アプリを追加して、この「ユーザとグループ」に社内アプリにアクセスできるユーザを設定し、Entra Private Access経由で社内アプリにアクセス可能なユーザを制限できます。(そのため、アクセスパッケージの機能を使って、一時的に「ユーザとグループ」にユーザを追加させることで、社内アプリへのJITアクセスも実現できます)
(参考記事)
補足
アクセスパッケージの割り当てについて
以下のように複数の方法が選択できる
- 管理者が対象ユーザに割り当てる
- ユーザが、アクセスパッケージを自身に割り当てたいときに、管理者にアクセスパッケージを要求して、承認を得る(または、自動承認で割り当てる)