アクセスグループ

アクセスグループは、一度設定すれば多くのアクセスアプリケーションに迅速に適用できるルールのセットです。アクセスグループを任意のアクセスポリシーに割り当てることができ、選択したグループのすべての基準がそのアプリケーションに適用されます。

ノート

アクセスグループは、Oktaグループのようなアイデンティティプロバイダーのグループとは異なります。アクセスグループには、個々のユーザー、アイデンティティプロバイダーからのグループ、およびサービストークンのようなサービス認証オプションの混合を含めることができます。

グループの作成

To create an Access group:

Dashboard

1. In Zero Trust ↗, go to Access > Access Groups.

2. Select Add a Group.

3. Enter a name for the group (for example, Lisbon-team).

4. Specify as many rules as needed to define your user group. For example, the following rules define a team based in Lisbon, Portugal:

   Rule type	Selector	Value
   Include	Country	Portugal
   Require	Emails Ending In	@team.com

5. Select Save.

API

Send a POST request to the /access/groups endpoint:

curl https://api.cloudflare.com/client/v4/accounts/{account_id}/access/groups \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "name": "Lisbon-team",
  "include": [
    {
      "geo": {
        "country_code": "PT"
      }
    }
  ],
  "exclude": [],
  "require": [
    {
      "email_domain": {
        "domain": "team.com"
      }
    }
  ],
  "is_default": false
}'

You can now select this group in the Access policy builder.

グループ基準

グループ基準は、ユーザーが特定のグループのメンバーであるかどうかを決定します。グループは単にアクセスルールのコレクションであるため、アクセスポリシービルダーに表示されるのと同じルールタイプおよびセレクターを使用します。

IPベースのルールのためのグループ

ポリシーで設定するIPアドレスベースのルールを定義するためにグループを使用することをお勧めします。IPアドレスを一箇所にまとめることで、各ポリシーでなく一度だけアドレスを変更または削除でき、ミスの可能性を減らすことができます。

ノート

グループに複数のIPアドレスまたは範囲を追加する場合は、IP用のインクルードルールを使用してください。インクルードルールを使用しない場合、ポリシーはすべての範囲からのトラフィックを必要とします。

国要件のためのグループ

許可またはブロックする国で構成されるアクセスグループを作成できます。アクセスは、インクルードルール内の国をOR論理演算子で扱います。アクセスアプリケーションのポリシーを構築する際に、このアクセスグループを要求ポリシーに割り当てて、グループ内の国のいずれかを少なくとも1つ要求することができます。