コンテンツにスキップ

アイデンティティベースのポリシー

Cloudflare Zero Trustを使用すると、ユーザーのアイデンティティレベルまでフィルタリングするSecure Web Gatewayポリシーを作成できます。そのためには、一連のアイデンティティベースのセレクターを使用してDNS、HTTP、またはネットワークポリシーを構築できます。これらのセレクターを使用するには、WARPモードのゲートウェイでZero Trust WARPクライアントを展開する必要があります。

また、デバイスポスチャーチェックからの追加のシグナルに基づいて、アウトバウンドトラフィックをフィルタリングすることもできます。

ゲートウェイアイデンティティチェック

ユーザーがログインまたは再認証するとき、ゲートウェイはアイデンティティをチェックします。ユーザーのアイデンティティを確認し、定期的に再認証を要求するには、WARPクライアントセッションの期間を強制することができます。

SCIMプロビジョニングをサポートするIdPを使用しない限り、ゲートウェイはユーザーがIdPのグループに追加または削除されたときに、ユーザーがZero Trustインスタンスに再認証するまで検出しません。ユーザーが再認証する方法は2つあります:

  • アクセス保護されたアプリケーションからログアウトし、再度ログインする。
  • WARPクライアントの設定で、Preferences > Account > Re-Authenticate Sessionを選択します。これによりブラウザウィンドウが開き、ユーザーにログインを促します。

ゲートウェイがポリシーを評価する際に使用するアイデンティティを確認するには、ユーザー登録を確認してください。

自動SCIM IdP更新

ゲートウェイは、SCIMプロビジョニングで構成されたIdPのユーザー名、役職、およびグループメンバーシップの変更を自動的に検出します。SCIMをサポートするIdPには以下が含まれます:

詳細については、SCIMプロビジョニングを参照してください。

拡張メールアドレス

Extended email addresses (also known as plus addresses) are variants of an existing email address with + or . modifiers. Many email providers, such as Gmail and Outlook, deliver emails intended for an extended address to its original address. For example, providers will deliver emails sent to contact+123@example.com or con.tact@example.com to contact@example.com.

By default, Gateway will either filter only exact matches or all extended variants depending on the type of policy and action used:

DNS policies
ActionBehavior
AllowMatch exact address only
BlockMatch exact address and all variants
OverrideMatch exact address and all variants
Safe SearchMatch exact address and all variants
YouTube RestrictedMatch exact address and all variants

Network policies
ActionBehavior
AllowMatch exact address only
Audit SSHMatch exact address and all variants
BlockMatch exact address and all variants
Network OverrideMatch exact address only

HTTP policies
ActionBehavior
AllowMatch exact address only
BlockMatch exact address and all variants
Do Not InspectMatch exact address only
Do Not IsolateMatch exact address only
Do Not ScanMatch exact address only
IsolateMatch exact address and all variants

Other policies
Policy typeBehavior
Egress policyMatch exact address only
Resolver policyMatch exact address only

To force Gateway to match all email address variants, go to Settings > Network > Firewall and turn on Match extended email addresses. This setting applies to all firewall, egress, and resolver policies.

アイデンティティベースのセレクター

SAML属性

SAML属性アサーションから値を指定します。

UI名API例
SAML属性identity.saml_attributes == "\"group=finance\""

ユーザーのメール

このセレクターを使用して、ユーザーのメールに基づくアイデンティティベースのゲートウェイルールを作成します。

UI名API例値
ユーザーのメールidentity.email == "user-name@company.com"

ユーザーグループID

このセレクターを使用して、ユーザーがIdPでメンバーとして構成されているIdPグループIDに基づくアイデンティティベースのゲートウェイルールを作成します。

UI名API例
ユーザーグループIDidentity.groups.id == "12jf495bhjd7893ml09o"

ユーザーグループメール

このセレクターを使用して、ユーザーがIdPでメンバーとして構成されているIdPグループのメールアドレスに基づくアイデンティティベースのゲートウェイルールを作成します。

UI名API例
ユーザーグループメールidentity.groups.id == "contractors@company.com"

ユーザーグループ名

このセレクターを使用して、ユーザーがIdPでメンバーとして構成されているIdPグループ名に基づくアイデンティティベースのゲートウェイルールを作成します。

UI名API例
ユーザーグループ名identity.groups.name == "\"finance\""

ユーザー名

このセレクターを使用して、特定のユーザーのIdPユーザー名に基づくアイデンティティベースのゲートウェイルールを作成します。

UI名API例
ユーザー名identity.name == "user-name"

ゲートウェイのIdPグループ

Cloudflare Gatewayは、組織のアイデンティティプロバイダー(IdP)と統合できます。IdPユーザーまたはグループのためにゲートウェイポリシーを構築する前に、IdPを認証方法として追加することを確認してください。

IdPはユーザーグループを異なる形式で公開するため、適切なアイデンティティベースのセレクターを選択するために以下のリストを参照してください。

Azure AD

セレクター
ユーザーグループID61503835-b6fe-4630-af88-de551dd59a2

は、AzureグループのオブジェクトIDです。

SCIMでユーザーとグループの同期を有効にした場合、同期されたグループは_ユーザーグループ名_の下に表示されます:

セレクター
ユーザーグループ名SCIM group

GitHub

セレクター
ユーザーグループ名Marketing

Google

セレクター
ユーザーグループ名Marketing

Okta (OIDC)

OktaをOIDCプロバイダーとして追加した場合、ユーザーグループ名セレクターを使用します:

セレクター
ユーザーグループ名Marketing

Okta OIDC統合は、SCIMを使用したユーザーとグループの同期をサポートしています。

Okta (SAML)

OktaをSAMLプロバイダーとして追加した場合、SAML属性セレクターを使用します:

セレクター属性名属性値
SAML属性groupsMarketing

一般的なSAML IdP

一般的なSAMLプロバイダーの場合、SAML属性セレクターを使用します:

セレクター属性名属性値
SAML属性departmentMarketing

一般的なOIDC IdP

カスタムOIDCクレームは、ゲートウェイポリシーではサポートされていません。

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings