Skip to main content
ExLibris

Knowledge Assistant

BETA
  • Subscribe by RSS
    • Back
    Alma

     

    Ex Libris Knowledge Center
    1. Search site
      Go back to previous article
      2. Sign in
        • Sign in
        • Forgot password
    1. Home
    2. Alma
    3. Product Documentation
    4. Alma Online Help (日本語)
    5. アドミン
    6. Almaの一般機能の設定
    7. セキュリティ

    セキュリティ

    1. Last updated
    2. Save as PDF
    3. Share
      1. Share
      2. Tweet
      3. Share
    1. AlmaへのログインをIPレンジで制限する
    2. CSP  (コンテンツセキュリティ ポリシー) ヘッダー設定 
    3. ログインリダイレクト許可リスト
    4. クリックジャッキングの防止
    Translatable

    AlmaへのログインをIPレンジで制限する

    IPグループを設定するには、下記の役職が必要です:
    • 総合システム管理者
    IPアドレスに応じて、ユーザーがAlmaにログインするのを制限できます。この機能を設定するには2つのステップがあります。まずIPグループを作成してから、これらのグループのログインアクセスを設定します。これらのIPグループのみが、Almaへのログインを許可されます。
    IPグループによるログインを制限するには:
    1. IPグループ設定ページ (設定メニュー > 一般 > セキュリティ > IPグループ設定) から、IPグループを追加を選択します。「IPグループを追加」パネルが表示されます。
      add_ip_group_ux.png
      IPグループを追加
    2. 以下を入力します:
      • グループコード – IPグループのコード
      • グループ名 – 後で変更できるIPグループの名称
      • IPバージョン – IPv4またはIPv6
      • IP一致基準 – 特定のIPアドレスまたはIPレンジ (有効な2つのIPアドレスをハイフンで区切ってください)
    3. グループにIPの定義を追加を選択します。IPレンジがグループに追加され、テーブルに表示されます。
    4. 各グループについて複数のIPレンジを定義できます。必要に応じてステップ2と3を繰り返します。IPレンジを削除するには、その行のアクションリストで削除を選択します。
    5. IPレンジの追加が完了したら、追加して閉じるを選択します。IPグループが追加されます。
      グループを編集するには、その行のアクションリストで編集を選択します。グループを削除するには、その行のアクションリストで削除を選択します。
    6. 「ログイン制限設定」ページを開きます (設定メニュー > 一般 > セキュリティ > ログイン制限設定)。ログイン制限は、このページで有効にするまでは無効です。ご注意ください。
      login_restriction_configuration_ux.png
      ログイン制限設定
    7. ログインアクセスを許可したいIPアドレスのIPグループからIPグループを選択し、追加を選択します。すべてのIPグループを追加するには、全グループを追加を選択できます。
      IPグループが選択されると、他のすべてのIPアドレスはログインが制限されます。
    8. IP制限マネージャーボックスからマネージャーを選択します (必須)。制限されたIPアドレスからログインが試行された際に、このマネージャーはユーザーが送信したメッセージを受入します。
    9. ログイン制限の有効化を選択する。ログイン制限を有効や無効にすることなく変更を保存するには、保存を選択します。
      • IPログイン制限を有効にするには、ログイン制限の有効化を選択する必要があります。
      • 総合システム管理者 の役職が割り当てられているユーザーは制限されません。
      • 後でログイン制限を無効にするには、ログイン制限の無効化を選択します。
    制限されたIPアドレスのユーザーがAlmaにログインしようとすると、下記のメッセージが表示されます:
    access_blocked.png
    アクセスがブロックされました
    ユーザーは、上記のように設定されたIP制限マネージャーに連絡するため、管理者へコンタクトを選択できます。
    特定のユーザーについてこれらの制限を上書きするには、ユーザーを編集する際にすべてのログイン制限の無効化を選択します (ユーザーの編集を参照)。

    CSP  (コンテンツセキュリティ ポリシー) ヘッダー設定 

    CSPヘッダーディレクティブを有効にして構成し、Webアプリケーションのセキュリティポリシーを微調整できます。この設定にアクセスするには、設定 > 全般 > CSPヘッダー設定に移動します。

    CSP設定ページ。

    CSPヘッダー設定

    下部のプレビュー ペインにはヘッダーが表示され、設定が変更されると自動的に更新されます。 

    最初の4つのディレクティブ (frame-ancestors、object-src、worker-src、upgrade-insecure-requests) はデフォルトでアクティブになっており、無効にすることはできません。ただし、許可リスト - 追加カラムにドメインを追加することもできます。

    最後の5つのディレクティブ (以下で説明) はデフォルトで無効になっていますが、最初の4 つのディレクティブとは異なり、有効にすることができます。許可リスト  - 追加カラムで、許可リストに 追加ドメインを追加できます。

    1. form-action:

      • フォーム送信のターゲットとして使用できるURLを制限します(<form action="..." />)。フォームが悪意のあるサイトに送信されるのを防ぐのに役立ちます。

    2. base-uri:

      • 文書の<base>要素内で使用できるURLを指定します<base>要素は、ドキュメント内のすべての相対URLに使用するベースURLを指定するので、これを制御することで、攻撃者がベースURLを変更して、リンクを悪意のあるサイトにリダイレクトすることを防ぐことができます。

    3. script-src:

      • このディレクティブは、JavaScriptの有効なソースを指定します。信頼できるソースからのスクリプトのみをページ上で実行できるようにすることで、XSS攻撃を軽減するのに役立ちます。たとえば、スクリプトを独自のドメインまたは信頼できる CDN からのみ読み込むように指定できます。

    4. frame-src:

      • このディレクティブは、<frame>、<iframe>, <object>、<embed>、および<applet>を使用して、コンテンツを埋め込むための有効なソースを指定します。これは、フレーム内に埋め込むことができるソースを制御し、クリックジャッキングやその他のフレームベースの攻撃を防ぐのに役立ちます。

    5. connect-src:

      • このディレクティブは、XMLHttpRequest、Fetch、WebSocket、およびEventSourceのようなメカニズムを使用して、ドキュメントが取得できるURLを制限します。スクリプトがデータを送信できる場所を制御し、データ流出のリスクを軽減するのに役立ちます。

    6. style-src:

      • HTTP コンテンツセキュリティ ポリシー (CSP) style-src ディレクティブは、スタイルシートの有効なソースを指定します。

    7. img-src:

      • HTTP コンテンツセキュリティ ポリシー img-src ディィレクティブは、画像とファビコンの有効なソースを指定します。

    8. font-src:

      • HTTP コンテンツセキュリティ ポリシー (CSP) font-src ディレクティブは、 @font-faceを使用して読み込まれるフォントの有効なソースを指定します。

    9. child-src:

      • HTTP コンテンツセキュリティポリシー (CSP) child-src ディレクティブは、 <frame> や <iframe>などの要素を使用して読み込まれる ウェブワーカー とネストされたブラウジングコンテキストの有効なソースを定義します。ワーカーの場合、非準拠のリクエストはユーザーエージェントによって致命的なネットワークエラーとして扱われます。

    10. default-src:

      • HTTP コンテンツセキュリティポリシー  (CSP) default-src ディレクティブは、他のCSP フェッチディレクティブのフォールバックとして機能します。存在しない各ディレクティブについては、ユーザーエージェントは default-src ディレクティブを作成し、この値を使用します。

    ログインリダイレクト許可リスト

    潜在的なセキュリティ問題(オープンリダイレクトの脆弱性)を回避するために、信頼できるサイトのリストを作成できます。

    信頼済みサイトのリストを作成するには、以下のようにします:

    1. limit_login_redirects(設定 > 一般 > その他の設定) パラメータが、必ずtrueに設定されているようにします。 

    2. 設定 > 全般 > リダイレクト許可リストに移動します。

    3.  信頼されたドメインごとに新しい行を追加します。このコードは説明のみを目的としており、Almaでは使用されません。

    Ex Librisに属するドメイン (*.exlibrisgroup.com) をリストする必要はありません。 

    リダイレクトドメインページ。

    クリックジャッキングの防止

    iFrameの埋め込みオプションを制御するには、次の役割でなければなりません。
    • 統括システム管理者

    クリックジャッキング とは、機密性の高いページから実際の管理を含む無害なページを表示して、ユーザーをだます攻撃です。これらの制御は、制御以外のすべてをマスクする背景フレームを使用して偽装されており、ユーザーは、他のWebサイトで機密機能をクリックしていることを実際に認識できません。これにより、ユーザーは無意識のうちにマルウェアをダウンロードしたり、資格情報や機密情報を提供したり、送金したり、オンラインで製品を購入したりする可能性があります。

     ExLibris製品を介した クリックジャッキングを防ぐために、ExLibrisは  ポリシーベースの緩和手法を採用しています。これにより機関は、 サイトがiframe内に含まれている場合に実行する適切なアクションについてブラウザに指示できます。

    このページを変更すると、 他の製品からのUI統合が壊れる可能性があります。このページの使用方法について疑問がある場合は、ExLibrisカスタマーサポートにご相談ください。

     

    サイトがiframe内に含まれている場合に実行する アクションを設定するには:
    1.  iFrame埋め込みオプションテーブルを開きます (構成>一般>セキュリティ>iFrame埋め込みオプション) 。 
    2. 目的の製品とコンポーネントについては、行アクションで[カスタマイズ]を選択します。

      Alma管理とEsploro 管理はフレーム化できません。この構成は編集できません。 

    3. [アクション]列で、サイトがiFrame内に含まれている場合に実行する適切なアクション を選択します。
      • すべて許可 (デフォルトオプション) -   すべてのページがこのページをiFrame内に読み込めるようにします。
      • 保護を許可する - 信頼できるページのみ このページをiFrame内にロードすることが許可されています。 このオプションを選択した場合は、安全なドメイン列は信頼できるURLを示します(指定できるURLの数に制限はありません。複数のURLを、間に空白を入れてリストしてください)。
      • すべてブロック -  ページをフレーム化するすべての試みを拒否します。
    4. 保存  をクリックします。
    View article in the Exlibris Knowledge Center
    1. Back to top
      • ウィジェット
      • ILS移行フォームの検証
    • Was this article helpful?

    Recommended articles

    1. Article type
      Topic
      Content Type
      Documentation
      Language
      日本語
      Product
      Alma
    2. Tags
      This page has no tags.
    1. © Copyright 2024 Ex Libris Knowledge Center
    2. Powered by CXone Expert ®
    • Term of Use
    • Privacy Policy
    • Contact Us
    2024 Ex Libris. All rights reserved