Search

アドミン・コンソールとエンドユーザー・ページにアクセスできるコンピュータ(ホスト)を制限するには、どのようにすればよいですか。

環境：

環境設定、Oracle B2C Service, 全てのバージョン

解決策：

SEC_VALID_ADMIN_HOSTS 設定は、アドミン・インタフェース(エージェント・コンソール)にアクセスできるホストを定義します。このリストのエントリに一致するホストからログインしたユーザーのみ、アドミン・インタフェース(エージェント・コンソール)にアクセスできます。

重要:この設定を編集するときには、注意が必要です。正しくない設定(つまり正しくないIPアドレス)の場合、サイトからロック・アウトされることがあります。その場合、アクセスを復元するには、msgtoolを実行して設定値を削除する必要があります。

さらに、 SEC_VALID_ENDUSER_HOSTS 環境設定も同様に機能しますが、これはエンドユーザー・ページ:https://<vhost>/へのアクセスに対する設定となります。この設定にリストされているエントリに一致するホストからログインしているユーザーのみ、エンドユーザー・ページにアクセスできます。

SEC_INVALID_ENDUSER_HOSTS 環境設定は、エンドユーザー・インタフェースにアクセスできないホストを明示的にリストするように編集できます。

　　設定編集のパス：構成を選択　＞サイト構成　＞環境設定　＞キー検索

　　環境設定のエディタ又は編集についての詳細情報は、アンサーID7316：環境設定の編集　をご参照ください。

これらの設定の有効なエントリには、ワイルドカードを使用したドメイン名(*.mycompany.com)、または特定のIPアドレス(216.136.229.72)、またはIPサブネット・マスク(216.136.229.0/255.255.255.0)があります。IPアドレスにはワイルドカードを使用できません。ドメイン名のみです。サブネット・マスクまたはホストの範囲を指定する場合、/255.255.255.0の要素は、216.136.229.xの範囲のアドレス全体に対して可能な値をすべて許可するという意図を示します。

IPアドレス範囲の代わり、又はそれに加えて、ドメインを入力することができます。これは、IPアドレスのリストの最後に含まれるべきです。

例：Example: 216.136.229.72, 216.136.229.0/255.255.255.0, *.domain.com

注意：ドメインネームを使用する際、ネットワーク操作はDNSの逆引き参照を実行する必要があります。これはサービスクラウドアプリケーションの顕著なパフォーマンスの低下を含む、接続の遅延につながる可能性があります。できるだけ、ドメイン名の使用はご遠慮ください。

その他の注意事項：

• ワイルドカード(*)を使用してIPアドレスの範囲(1.2.3.*や1.2.3*など)を指定することはできません。
   
• 次のように、前述の値をカンマ区切りのリストで指定することもできます。
  • *.domain.com, 216.136.229.72, 216.136.229.0/255.255.255.0
     
• これらの環境設定では、強制改行の使用は許可されていません。強制改行後は、どのエントリも認識されません。

　　　適切な例: 1.2.3.4, 1.2.3.5, 1.2.3.6

　　　不適切な例: 1.2.3.4,
　　　1.2.3.5,
　　　1.2.3.6

IPを決定するには、https://cx.rightnow.com/app/utils/whatsmyipにアクセスしてください。192.168.0.0、10.0.0.0、172.16.0.0などのプライベートIPアドレスは、この設定では使用できません。

その他の考慮事項

SEC_VALID_ADMIN_HOSTを設定して、別のネットワークからプロダクトの管理側へハッキングすることによる不正利用を制限します。また、企業ネットワーク外からのアプリケーションの管理機能を制限します。ただし、RightNowアプリケーションの管理側へのアクセス許可に使用できるオプションがあります。これらのオプションとそのプラス面およびマイナス面について、次に概略を示します。

	オプション:有効な管理ホスト設定内の管理者のISPのIPサブネットをリストします。 プラス面:これは、管理者の自宅のダイアルアップまたは高速プロバイダからのアクセスを許可します。 マイナス面:ISPのIPサブネットが複数ある場合や、通知なしにIP番号が変更される場合があります。すべてのサブネットがリストされるため、ハッカーがアクセスする可能性が高まります。
	オプション:企業ネットワークへのダイヤルイン・アクセス。 プラス面:企業ダイヤルインが、正しいIPサブネットでインターネット・アクセスを許可されているかぎり、このアプローチは正しく機能します。 マイナス面:すべての企業がダイヤルイン・アクセスを許可しているとは限りません。
	オプション:PC AnywhereやWindowsターミナル・サーバーなどのプロダクトを使用して、企業のデスクトップPCを自宅からリモートで制御します。 プラス面:このアプローチは少し遅くなる場合がありますが、正しく機能します。 マイナス面:これは、PCのリモート制御に関する企業のISポリシーの対象になります。ほとんどの企業ではこれを許可していません。
	オプション:企業ファイアウォール外部からのインターネット・アクセスを許可する企業ネットワークへのVPNアクセスを設定します。 プラス面:これがおそらく最も安全なアクセス方法です。 マイナス面:必要なVPNソフトウェアと機器、および企業ISグループからのサポートが必要になります。
	オプション:インターネットへHTTPプロトコルを転送するように、企業ファイアウォール内部にプロキシ・サーバーを設定します。 プラス面:フォワード・プロキシは、クライアントのブラウザのゲートウェイとして機能し、クライアントに代わってHTTPリクエストをインターネットに送信します。RightNow HTTPサーバーは、リクエストを受信すると、実際のクライアントからではなく、企業ネットワーク上のプロキシ・サーバーから発信されたものとして、リクエスタのアドレスを表示します。 マイナス面:最も高いセキュリティを確保するために、このアプローチをVPNアクセスと組み合わせる必要があります。企業ISグループは、プロキシ・サーバーを構成する必要があります。