認証とステップアップ認証

ステップアップ認証（重要操作の再認証）

ユーザー／グループ／ロール／テナントなど、システム全体に影響する操作については、ログイン済みであっても「パスワード再入力」などのステップアップ認証が設定可能です。

概念としては「Dynamic RBAC」に近く、サーバーのAPI層で動的にロール昇格する機能です。Web UIの場合は、サーバーAPI層で勝手にロールが昇格、降格が行われると、UIの途中で操作が不能になったり、そもそもメニューが表示されないケースがありえます。利便性のために関係箇所の表示時に、先に昇格処理(ステップアップ認証)が行われるようになっています。

要求対象の例
- ユーザーの凍結・削除
- ロールの変更・削除
- テナントの作成・削除
管理ポリシに応じて、要求の有無を設定ファイル側で制御します

ステップアップ認証自体を有効にするか無効にするかは、サーバー管理者によりconfig.iniで設定されています。

ステップアップ認証の運用ポリシー

管理者としては、次のような方針でステップアップ認証の利用を検討してください。

必ずステップアップを要求したい操作
- ユーザー凍結・削除
- ロール定義の変更
- テナント作成・削除
通常認証のみでよい操作
- 一般ユーザーによる RAG 利用
- 自分が owner のドメインへの軽微な編集　など

システム設定（バックエンド側）のフラグと組み合わせて、「誤操作時の影響」と「操作頻度」のバランスを取るのがポイントです。