お疲れ様です。
今回は、前回紹介した IdP(Identity Provider)の仕分け に関する続編です。
お客様から、「すべての条件を満たさない場合、別のIdPへ遷移させたい」という要望が寄せられました。
この課題に対してどのように対応できるか、一旦できることを整理してみました。
前回の記事
https://qiita.com/ken_83/items/2a235f30301e7f8b5732。
事前準備
以下の前提条件を満たしている必要があります。
・SAP CIS が構築済みであること
・前回の記事 に目を通していること
実装(IPアドレス)
以下の手順に沿って、IPアドレスベースの認証ルールを設定します。
- SAP CIS にログインします。
- 「Application & Resource」→「Applications」を選択します。
- 対象のアプリケーションを選択します。
- 「Trust」→「Conditional Authentication」を選択します。
- 「Conditional Authentication」の画面を開きます。
- 「Default Authenticating Identity Provider」の「Default Identity Provider」に [Identity Authentication] を設定します。
- 「Authentication Rules」→「Add Rule」を押下します。
- 「Identity Provider」を押下し、設定する IdP を選択します。
- 「conditions below」の IP Range に「0.0.0.0/0」を設定します。
- このルールの 優先順位 を 最下位 に設定します。
- 「OK」ボタンを押下して保存します。
最後に
「すべての条件を満たさない場合に備えた設定」は、SAP CISにおいて特定の設定オプションが存在しないため、非常に難航しました。
VPNを利用して特定のIPアドレスからのみアクセスするという案は検討しやすかったものの、 「0.0.0.0/0」 を使うというシンプルな解決策はすぐには思いつきませんでした。
このようにすることで、 条件を満たさないすべてのアクセス に対しても IdPの振り分け を柔軟に設定することが可能です。