翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Verified Access トラストデータのサードパーティー信頼プロバイダーのコンテキスト
このセクションでは、サードパーティーの信頼プロバイダー AWS Verified Access から に提供される信頼データについて説明します。
**注記**
信頼プロバイダーのコンテキストキーは、信頼プロバイダーの作成時に設定したポリシーレファレンス名から取得されます。たとえば、ポリシーレファレンスを「idp123」と設定した場合、コンテキストキーは「context.idp123」となります。ポリシーを作成する際は、正しいコンテキストキーを使用していることを確認してください。
**Topics**
+ [ブラウザ拡張](#trust-data-browser)
+ [Jamf](#trust-data-iam-jamf)
+ [CrowdStrike](#trust-data-iam-cs)
+ [JumpCloud](#trust-data-jc)
## ブラウザ拡張
アクセスポリシーにデバイスの信頼コンテキストを組み込む場合は、 AWS Verified Access ブラウザ拡張機能または別のパートナーのブラウザ拡張機能が必要です。Verified Access は、現在 Google Chrome と Mozilla Firefox ブラウザをサポートしています。
現在、Jamf (macOS デバイスをサポート)、CrowdStrike (Windows 11 デバイスと Windows 10 デバイスをサポート)、および JumpCloud (Windows と MacOS の両方をサポート) の 3 つのデバイス信頼プロバイダーをサポートしています。
+ ポリシーで **Jamf** 信頼データを使用している場合、ユーザーは AWS Verified Access ブラウザ拡張機能を [Chrome ウェブストア](https://chromewebstore.google.com/category/extensions)または [Firefox アドオンサイト](https://addons.mozilla.org/en-US/firefox/)からデバイスにダウンロードしてインストールする必要があります。
+ ポリシーで **CrowdStrike** トラストデータを使用している場合、ユーザーはまず [AWS Verified Access Native Messaging Host](https://d3p8dc6667u8pq.cloudfront.net/WPF/latest/AWS_Verified_Access_Native_Messaging_Host.msi) (直接ダウンロードリンク) をインストールする必要があります。このコンポーネントは、ユーザーのデバイスで実行されている CrowdStrike エージェントからトラストデータを取得するために必要です。次に、このコンポーネントをインストールした後、ユーザーは [Chrome ウェブストア](https://chromewebstore.google.com/category/extensions)または [Firefox アドオンサイト](https://addons.mozilla.org/en-US/firefox/)から AWS Verified Access ブラウザ拡張機能をデバイスにインストールする必要があります。
+ **JumpCloud** を使用している場合、ユーザーのデバイスには [Chrome ウェブストア](https://chromewebstore.google.com/category/extensions)または [Firefox アドオンサイトの](https://addons.mozilla.org/en-US/firefox/) JumpCloud ブラウザ拡張機能がインストールされている必要があります。
## Jamf
Jamf はサードパーティー信頼プロバイダーです。ポリシーが評価される際に、Jamf を信頼プロバイダーとして定義すると、Verified Access は、信頼プロバイダー設定で「ポリシーレファレンス名」として指定するキーの下の Cedar コンテキスト内のトラストデータを含めます。必要に応じて、トラストデータに対して評価するポリシーを作成できます。次の [JSON スキーマ](https://json-schema.org/)は、評価に含まれるデーを示しています。
Verified Access で Jamf を使用する方法の詳細については、Jamf ウェブサイトの「[AWS Verified Access と Jamf Device Identity との統合](https://docs.jamf.com/technical-papers/jamf-security/aws-verified-access/index.html)」を参照してください。
```
{
"title": "Jamf device data specification",
"type": "object",
"properties": {
"iss": {
"type": "string",
"description": "\"Issuer\" - the Jamf customer ID"
},
"iat": {
"type": "integer",
"description": "\"Issued at Time\" - a unixtime (seconds since epoch) value of when the device information data was generated"
},
"exp": {
"type": "integer",
"description": "\"Expiration\" - a unixtime (seconds since epoch) value for when this device information is no longer valid"
},
"sub": {
"type": "string",
"description": "\"Subject\" - either the hardware UID or a value generated based on device location"
},
"groups": {
"type": "array",
"description": "Group IDs from UEM connector sync",
"items": {
"type": "string"
}
},
"risk": {
"type": "string",
"enum": [
"HIGH",
"MEDIUM",
"LOW",
"SECURE",
"NOT_APPLICABLE"
],
"description": "a Jamf-reported level of risk associated with the device."
},
"osv": {
"type": "string",
"description": "The version of the OS that is currently running, in Apple version number format (https://support.apple.com/en-us/HT201260)"
}
}
}
```
以下は、Jamf が提供するトラストデータに対して評価を行うポリシーの例です。
```
permit(principal, action, resource) when {
context.jamf.risk == "LOW"
};
```
Cedar には、Jamf のリスクスコアなどの列挙型を使用する際に役立つ便利な `.contains()` 機能があります。
```
permit(principal, action, resource) when {
["LOW", "SECURE"].contains(context.jamf.risk)
};
```
## CrowdStrike
CrowdStrike はサードパーティー信頼プロバイダーです。ポリシーが評価される際に、CrowdStrike を信頼プロバイダーとして定義すると、Verified Access は、信頼プロバイダー設定で「ポリシーレファレンス名」として指定するキーの下の Cedar コンテキスト内のトラストデータを含めます。必要に応じて、トラストデータに対して評価するポリシーを作成できます。次の [JSON スキーマ](https://json-schema.org/)は、評価に含まれるデーを示しています。
Verified Access で CrowdStrike を使用する方法の詳細については、GitHub ウェブサイトの「[Securing private applications with CrowdStrike and AWS Verified Access](https://github.com/CrowdStrike/aws-verified-access/)」を参照してください。
```
{
"title": "CrowdStrike device data specification",
"type": "object",
"properties": {
"assessment": {
"type": "object",
"description": "Data about CrowdStrike's assessment of the device",
"properties": {
"overall": {
"type": "integer",
"description": "A single metric, between 1-100, that accounts as a weighted average of the OS and and Sensor Config scores"
},
"os": {
"type": "integer",
"description": "A single metric, between 1-100, that accounts for the OS-specific settings monitored on the host"
},
"sensor_config": {
"type": "integer",
"description": "A single metric, between 1-100, that accounts for the different sensor policies monitored on the host"
},
"version": {
"type": "string",
"description": "The version of the scoring algorithm being used"
}
}
},
"cid": {
"type": "string",
"description": "Customer ID (CID) unique to the customer's environment"
},
"exp": {
"type": "integer",
"description": "unixtime, The expiration time of the token"
},
"iat": {
"type": "integer",
"description": "unixtime, The issued time of the token"
},
"jwk_url": {
"type": "string",
"description": "URL that details the JWT signing"
},
"platform": {
"type": "string",
"enum": ["Windows 10", "Windows 11", "macOS"],
"description": "Operating system of the endpoint"
},
"serial_number": {
"type": "string",
"description": "The serial number of the device derived by unique system information"
},
"sub": {
"type": "string",
"description": "Unique CrowdStrike Agent ID (AID) of machine"
},
"typ": {
"type": "string",
"enum": ["crowdstrike-zta+jwt"],
"description": "Generic name for this JWT media. Client MUST reject any other type"
}
}
}
```
以下は、CrowdStrike が提供するトラストデータに対して評価を行うポリシーの例です。
```
permit(principal, action, resource) when {
context.crowdstrike.assessment.overall > 50
};
```
## JumpCloud
JumpCloud はサードパーティー信頼プロバイダーです。ポリシーが評価される際に、JumpCloud を信頼プロバイダーとして定義すると、 Verified Access は、信頼プロバイダー設定で「ポリシーレファレンス名」として指定するキーの下の Cedar コンテキスト内のトラストデータを含めます。必要に応じて、トラストデータに対して評価するポリシーを作成できます。次の [JSON スキーマ](https://json-schema.org/)は、評価に含まれるデーを示しています。
JumpCloud と AWS Verified Access の使用の詳細については、JumpCloud [ウェブサイトのJumpCloud と AWS Verified Access の統合](https://jumpcloud.com/support/integrate-with-aws-verified-access)」を参照してください。 JumpCloud
```
{
"title": "JumpCloud device data specification",
"type": "object",
"properties": {
"device": {
"type": "object",
"description": "Properties of the device",
"properties": {
"is_managed": {
"type": "boolean",
"description": "Boolean to indicate if the device is under management"
}
}
},
"exp": {
"type": "integer",
"description": "Expiration. Unixtime of the token's expiration."
},
"durt_id": {
"type": "string",
"description": "Device User Refresh Token ID. Unique ID that represents the device + user."
},
"iat": {
"type": "integer",
"description": "Issued At. Unixtime of the token's issuance."
},
"iss": {
"type": "string",
"description": "Issuer. This will be 'go.jumpcloud.com'"
},
"org_id": {
"type": "string",
"description": "The JumpCloud Organization ID"
},
"sub": {
"type": "string",
"description": "Subject. The managed JumpCloud user ID on the device."
},
"system": {
"type": "string",
"description": "The JumpCloud system ID"
}
}
}
```
以下は、JumpCloud が提供するトラストコンテキストに対して評価を行うポリシーの例です。
```
permit(principal, action, resource) when {
context.jumpcloud.org_id == 'Unique_organization_identifier'
};
```