Verified Access 信頼データのサードパーティー信頼プロバイダーコンテキスト - AWS 検証済みアクセス
ブラウザ拡張JamfCrowdStrikeJumpCloud

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Verified Access 信頼データのサードパーティー信頼プロバイダーコンテキスト

このセクションでは、サードパーティーの信頼プロバイダー AWS Verified Access によって に提供される信頼データについて説明します。

注記

信頼プロバイダーのコンテキストキーは、信頼プロバイダーの作成時に設定したポリシーレファレンス名から取得されます。たとえば、ポリシーレファレンスを「idp123」と設定した場合、コンテキストキーは「context.idp123」となります。ポリシーを作成する際は、正しいコンテキストキーを使用していることを確認してください。

ブラウザ拡張

デバイス信頼コンテキストをアクセスポリシーに組み込む場合は、 AWS Verified Access ブラウザ拡張機能、または別のパートナーのブラウザ拡張機能が必要です。Verified Access は、現在 Google Chrome と Mozilla Firefox ブラウザをサポートしています。

現在、Jamf (macOS デバイスをサポート) CrowdStrike 、(Windows 11 および Windows 10 デバイスをサポート)、 JumpCloud (Windows と MacOS の両方をサポート) の 3 つのデバイス信頼プロバイダーをサポートしています。

  • ポリシーで Jamf 信頼データを使用している場合、ユーザーは AWS Verified Access ブラウザ拡張機能を Chrome ウェブストアまたは Firefox アドオンサイトからデバイスにダウンロードしてインストールする必要があります。

  • ポリシーでCrowdStrike信頼データを使用している場合は、まずネイティブAWS Verified Access メッセージングホスト (直接ダウンロードリンク) をインストールする必要があります。このコンポーネントは、ユーザーのデバイスで実行されている CrowdStrike エージェントから信頼データを取得するために必要です。次に、このコンポーネントをインストールした後、ユーザーは Chrome ウェブストアまたは Firefox アドオンサイトから AWS Verified Access ブラウザ拡張機能をデバイスにインストールする必要があります。

  • を使用している場合JumpCloud、ユーザーは Chrome ウェブストアまたは Firefox アドオンサイトの JumpCloud ブラウザ拡張機能をデバイスにインストールする必要があります。

Jamf

Jamf はサードパーティー信頼プロバイダーです。ポリシーが評価される際に、Jamf を信頼プロバイダーとして定義すると、Verified Access は、信頼プロバイダー設定で「ポリシーレファレンス名」として指定するキーの下の Cedar コンテキスト内のトラストデータを含めます。必要に応じて、トラストデータに対して評価するポリシーを作成できます。次のJSONスキーマは、評価に含まれるデータを示しています。

Jamf と Verified Access の使用の詳細については、Jamf ウェブサイトのAWS「Verified Access と Jamf Device Identity の統合」を参照してください。

{
    "title": "Jamf device data specification",
    "type": "object",
    "properties": {
        "iss": {
            "type": "string",
            "description": "\"Issuer\" - the Jamf customer ID"
        },
        "iat": {
            "type": "integer",
            "description": "\"Issued at Time\" - a unixtime (seconds since epoch) value of when the device information data was generated"
        },
        "exp": {
            "type": "integer",
            "description": "\"Expiration\" - a unixtime (seconds since epoch) value for when this device information is no longer valid"
        },
        "sub": {
            "type": "string",
            "description": "\"Subject\" - either the hardware UID or a value generated based on device location"
        },
        "groups": {
            "type": "array",
            "description": "Group IDs from UEM connector sync",
            "items": {
                "type": "string"
            }
        },
        "risk": {
            "type": "string",
            "enum": [
                "HIGH",
                "MEDIUM",
                "LOW",
                "SECURE",
                "NOT_APPLICABLE"
            ],
            "description": "a Jamf-reported level of risk associated with the device."
        },
        "osv": {
            "type": "string",
            "description": "The version of the OS that is currently running, in Apple version number format (https://support.apple.com/en-us/HT201260)"
        }
    }
}

以下は、Jamf が提供するトラストデータに対して評価を行うポリシーの例です。

permit(principal, action, resource) when {
   context.jamf.risk == "LOW"
};

Cedar には、Jamf のリスクスコアなどの列挙型を使用する際に役立つ便利な .contains() 機能があります。

permit(principal, action, resource) when {
   ["LOW", "SECURE"].contains(context.jamf.risk)
};

CrowdStrike

CrowdStrike はサードパーティーの信頼プロバイダーです。ポリシーが評価されると、信頼プロバイダー CrowdStrike として を定義すると、Verified Access には、信頼プロバイダー設定で「ポリシー参照名」として指定したキーの Cedar コンテキストに信頼データが含まれます。必要に応じて、トラストデータに対して評価するポリシーを作成できます。次のJSONスキーマは、評価に含まれるデータを示しています。

Verified Access CrowdStrike で を使用する方法の詳細については、 GitHub ウェブサイトの「 CrowdStrike および によるプライベートアプリケーションの保護 AWS Verified Access」を参照してください。

{
  "title": "CrowdStrike device data specification",
  "type": "object",
  "properties": {
    "assessment": {
      "type": "object",
      "description": "Data about CrowdStrike's assessment of the device",
      "properties": {
        "overall": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts as a weighted average of the OS and and Sensor Config scores"
        },
        "os": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the OS-specific settings monitored on the host"
        },
        "sensor_config": {
          "type": "integer",
          "description": "A single metric, between 1-100, that accounts for the different sensor policies monitored on the host"
        },
        "version": {
          "type": "string",
          "description": "The version of the scoring algorithm being used"
        }
      }
    },
    "cid": {
      "type": "string",
      "description": "Customer ID (CID) unique to the customer's environemnt"
    },
    "exp": {
      "type": "integer",
      "description": "unixtime, The expiration time of the token"
    },
    "iat": {
      "type": "integer",
      "description": "unixtime, The issued time of the token"
    },
    "jwk_url": {
      "type": "string",
      "description": "URL that details the JWT signing"
    },
    "platform": {
      "type": "string",
      "enum": ["Windows 10", "Windows 11", "macOS"],
      "description": "Operating system of the endpoint"
    },
    "serial_number": {
      "type": "string",
      "description": "The serial number of the device derived by unique system information"
    },
    "sub": {
      "type": "string",
      "description": "Unique CrowdStrike Agent ID (AID) of machine"
    },
    "typ": {
      "type": "string",
      "enum": ["crowdstrike-zta+jwt"],
      "description": "Generic name for this JWT media. Client MUST reject any other type"
    }
  }
}

以下は、 が提供する信頼データに対して を評価するポリシーの例です CrowdStrike。

permit(principal, action, resource) when {
   context.crowdstrike.assessment.overall > 50
};

JumpCloud

JumpCloud はサードパーティーの信頼プロバイダーです。ポリシーが評価されると、信頼プロバイダー JumpCloud として を定義すると、Verified Access には、信頼プロバイダー設定で「ポリシー参照名」として指定したキーの Cedar コンテキストに信頼データが含まれます。必要に応じて、トラストデータに対して評価するポリシーを作成できます。次のJSONスキーマは、評価に含まれるデータを示しています。

AWS Verified Access JumpCloud で を使用する方法の詳細については、 JumpCloud ウェブサイトの「Integrating JumpCloud and AWS Verified Access」を参照してください。

{
  "title": "JumpCloud device data specification",
  "type": "object",
  "properties": {
    "device": {
      "type": "object",
      "description": "Properties of the device",
      "properties": {
        "is_managed": {
          "type": "boolean",
          "description": "Boolean to indicate if the device is under management"
        }
      }
    },
    "exp": {
      "type": "integer",
      "description": "Expiration. Unixtime of the token's expiration."
    },
    "durt_id": {
      "type": "string",
      "description": "Device User Refresh Token ID. Unique ID that represents the device + user."
    },
    "iat": {
      "type": "integer",
      "description": "Issued At. Unixtime of the token's issuance."
    },
    "iss": {
      "type": "string",
      "description": "Issuer. This will be 'go.jumpcloud.com'"
    },
    "org_id": {
      "type": "string",
      "description": "The JumpCloud Organization ID"
    },
    "sub": {
      "type": "string",
      "description": "Subject. The managed JumpCloud user ID on the device."
    },
    "system": {
      "type": "string",
      "description": "The JumpCloud system ID"
    }
  }
}

以下は、 が提供する信頼コンテキストに対して を評価するポリシーの例です JumpCloud。

permit(principal, action, resource) when {
   context.jumpcloud.org_id = 'Unique_orgnaization_identifier'
};