メインコンテンツにスキップ

カスタムヘッダーを利用してアクセスできるクラウドサインの環境を制限する

クラウドサイン運営事務局 avatar
対応者:クラウドサイン運営事務局
一週間前以上前にアップデートされました

本機能は、カスタムヘッダーを付与してアクセスした場合に、お客様が契約しているクラウドサイン環境にのみログインを制限できる機能です。

例えば、以下のような場合にご利用いただくことで、不正アクセスや情報漏洩を防ぐことができます。

  • 従業員が個人で契約しているクラウドサイン環境にログインし、誤って機密文書が外部にアップロードされるリスクを防ぎたい

  • 業界や社内規定により、社内ネットワーク/業務端末からアクセスできるクラウドサービスを制限したい

また、以下のような高度なセキュリティとコンプライアンスが求められるお客様には、これまで以上に安心してクラウドサインをご利用いただけます。

  • クラウドサービスへのアクセスを制御するために、ホワイトリスト方式の活用やネットワーク制限を設けているお客様

  • SASE や CASB など、クラウドサービスへのアクセス制御・監視を行うソリューションを導入しているお客様

  1. 機能仕様

  2. テスト工程

  3. アクセスコントロールグループの内容変更

  4. 注意事項・補足

1. 機能仕様

1.1 用語定義

アクセスコントロールグループ(ACG)

アクセスを許可するチームをグループ化したものです。

アクセスコントロールグループID

クラウドサインが発行する、特定のアクセスコントロールグループを識別する一意のIDです。32桁の英数字(例:a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6)で構成されており、カスタムHTTPヘッダーで指定することで制限が有効になります。

1.2 カスタムヘッダーの仕様

  • ヘッダー名CloudSign-Allowed-Access-Control-Group-IDs

  • ヘッダー値:クラウドサインが発行した32桁の英数字によるアクセスコントロールグループID

設定例:

基本形

ヘッダー名

ヘッダー値

CloudSign-Allowed-Access-Control-Group-IDs

a1b2c3d4e5f6g7h8i9j0k1l2m3n4o5p6

複数設定する場合:カンマ区切りで複数設定(上限5つ)

ヘッダー名

ヘッダー値

CloudSign-Allowed-Access-Control-Group-IDs

aaaaaaaaaa1234567890aaaaaaaaaa12,

bbbbbbbbbb1234567890bbbbbbbbbb12,

cccccccccc1234567890cccccccccc12,

dddddddddd1234567890dddddddddd12,

eeeeeeeeee1234567890eeeeeeeeee12

1.3 アクセス制御の仕様

本機能は、HTTPヘッダーに設定されたアクセスコントロールグループID(ACG ID)を用いて、ログイン可能なクラウドサインチームを制限するものです。設定されたACG IDに紐付けられていないチームまたはフリープランへのログインおよび操作ができなくなります。

動作概要

  • HTTPリクエストに含まれる カスタムヘッダーの値(ACG ID) に基づき、ログインおよび操作可否が判断されます。

  • ACG IDに含まれるチームIDと、ログイン先チームのチームIDが一致する場合のみログイン・操作が可能です。

  • 照合はログイン操作時と、ログイン後の画面遷移時に行われます。チームIDが一致しない、またはログイン先がフリープランの場合、ログイン操作時にはログイン不可となり、画面遷移時にはログアウト処理が実行されます。

  • カスタムヘッダーがリクエストに含まれていない場合は、通常どおりすべてのチームにアクセス可能です。

制御が行われるタイミング

  • ログイン時:カスタムヘッダーとログイン先チームを照合し、一致しない場合またはフリープランの場合はログイン不可となります。

  • ログイン後の操作時:全画面において照合処理が実行され、対象外チームにログイン中の場合は強制ログアウトされます。

  • 未ログイン時の受信者側同意画面:ログイン状態に関係なく、受信者の所属するチームがカスタムヘッダーで指定されたアクセスコントロールグループに含まれているかを照合します。一致しない場合は同意操作を不可とします。

  • 参考:判定ロジック図

2. テスト工程

2.1 手順

  1. [お客様] 利用申込

  2. [クラウドサイン] アクセスコントロールグループ定義フォーマットの提供

  3. [お客様] フォーマットの記載・返送

  4. [クラウドサイン] フォーマット受領

  5. [クラウドサイン] ACG作成・ID発番

  6. [クラウドサイン] お客様にACG IDを連絡

  7. [お客様] Sandbox環境でカスタムヘッダーにACG IDを設定

  8. [お客様] Sandbox環境で動作確認

  9. [お客様] 本番環境環境でカスタムヘッダーにACG IDを設定、運用開始

2.2 お客様作業詳細

2.2.1 [お客様] フォーマットの記載・返送

  • 当社より提供したフォーマットに、アクセスを許容するクラウドサインチームIDを記載いただきます。 チームIDに記載ミス(存在しないID、誤った形式など)があった場合、当該チームへのログインができなくなりますのでご注意ください。

  • 記載後、クラウドサイン担当者に送付いただきます。

2.2.2 [お客様] Sandbox環境でカスタムヘッダーにACG IDを設定

2.2.3 [お客様] Sandbox環境で動作確認

  • 設定したACGに含まれるチームにログイン可能であることを確認します。

  • 設定したACGに含まれないチームにログイン不可であることを確認します。この確認を行うためには、ログインを許可しないチーム、またはフリープランのアカウントを事前に作成いただく必要があります。

2.2.4 [お客様] 本番環境環境でカスタムヘッダーにACG IDを設定、運用開始

  • Sandboxと同様にヘッダーを設定し、動作確認を行います。動作に問題ないことが確認でき次第、運用を開始します。

3. アクセスコントロールグループの内容変更

3.1 手順

  1. [お客様] 変更要望をクラウドサイン担当者に伝達

  2. [クラウドサイン] 担当者から変更用フォーマットを送付

  3. [お客様] 変更用フォーマット記載・返送

  4. [クラウドサイン] チームID/組織IDの追加または削除、必要に応じて新規ACGを発番

  5. [クラウドサイン] 変更完了の連絡。必要に応じて新規ACGを連絡

  6. [お客様] 変更の適用を確認。新規ACGの発番を含む場合はカスタムヘッダーの設定変更および動作確認

4. 注意事項・補足

  • カスタムヘッダー設定ミスにより、全チームへのアクセスがブロックされる恐れがあります。Sandbox環境での十分な検証を推奨します。

  • 本機能は、SASE 等のネットワーク製品でのヘッダー挿入が可能な場合にのみ利用できます。

  • チームIDは、クラウドサインの管理画面やサポート窓口でも確認可能です。

  • ご不明な点がございましたら、チャットサポートよりお問い合わせください。

こちらの回答で解決しましたか?