目次    

ルールの追加

ルールは、ポリシーのリソース、アクション、およびアクション値を定義します。

  1. アイデンティティ管理インタフェースで、「表示」メニューから「ポリシー」を選択します。
  2. その組織用に作成されたポリシーが表示されます。

  3. 修正するポリシーを選択し、「プロパティ」の矢印をクリックします。データ区画のポリシーの「編集」ウインドウが開きます。
  4. デフォルトでは、「一般」表示となっています。

  5. ポリシーのルールを定義するには、「表示」メニューから「ルール」を選択し「新規」をクリックします。
  6. 複数のサービスが存在する場合、データ区画にサービスが表示されます。ポリシーを作成したいサービスを選択して、「次へ」をクリックします。「新規ルール」ウィンドウが表示されます。

  7. 「ルール」フィールドに、ポリシーのリソース、アクション、およびアクション値を定義します。フィールドは次のとおりです。
  8. タイプ : ポリシーを作成するサービスが表示されます。デフォルトは URL ポリシーエージェントです。

    ルール名 : ルールの名前を入力します。

    リソース名 : リソースの名前を入力します。次に例を示します。

    http://www.example.com

    現在、ポリシーエージェントは、http://https:// リソースのみをサポートしており、ホスト名の代わりの IP アドレスはサポートしていません。

    ワイルドカードは、リソース名、ポート番号、およびプロトコルでサポートされています。次に例を示します。

    http*://*:*/*.html

    URL ポリシーエージェントサービスでは、ポート番号が入力されていない場合のデフォルトのポート番号は、http:// では 80、https:// では 443 となります。

    リソースを http://host*:* として定義して、特定のマシンにインストールされたすべてのサーバーのリソース管理を行うことができます。さらに、次のリソースを定義して、組織内のすべてのサービスに対する特定の組織権限を管理者に与えることができます。

  9. http://*.subdomain.domain.topleveldomain
  10. アクション : URL ポリシーエージェントサービスでは、デフォルトとして次のアクションの両方または一方を選択できます。

    • GET
    • POST
    • アクションの値 : URL ポリシーエージェントサービスでは、デフォルトとして次のアクション値の 1 つを選択できます。

    • 許可 : ルールに定義されたリソースに一致するリソースへのアクセスを許可
    • 拒否 : ルールに定義されたリソースに一致するリソースへのアクセスを拒否
    • ポリシーでは、拒否のルールが常に他のすべてのルールより優先します。たとえば、特定のリソースに対して 2 つのポリシーを持っており、一方がアクセスを拒否し、もう一方はアクセスを許可している場合、(両方のポリシーの条件が満たされていれば) 結果的にアクセスは拒否されます。ポリシー間で競合を発生させてしまう可能性があるため、拒否のポリシーを使用する場合は細心の注意が必要です。一般的に、ポリシーの定義プロセスでは許可のルールのみを使用するようにし、拒否の事例に適用されているポリシーが存在しない場合にデフォルトの拒否を使用するようにします。

      明示的な拒否のルールが使用されている場合、異なるサブジェクト (ロールやグループメンバーシップなど) を使用して特定のユーザーに割り当てられているポリシーは、それらのポリシーの中に 1 つまたは複数のアクセスを許可するポリシーがあっても、リソースへのアクセスを拒否されます。たとえば、社員ロールに適用されるリソースを拒否するポリシーと、管理職ロールに適用される同じリソースを許可する別のポリシーがある場合、社員と管理職の両方に割り当てられたユーザーのポリシー決定は拒否されます。

      そのような問題を解決する 1 つの方法として、条件プラグインを使用してポリシーを設計する方法があります。上記のケースでは、社員ロールとして認証済みユーザーに拒否ポリシーを適用し、管理職ロールとして認証済みユーザーに許可ポリシーを適用する「ロール条件」により、2 つのポリシーを区別します。もうひとつは、認証レベル条件を使用して、管理職ロール認証をより高い認証レベルで行う方法です。詳細については、「条件の追加」を参照してください。


      アクションにリソース定義が不要となるようサービスが定義されている場合、リソースフィールドは表示されません。リソースを要求するアクションと要求しないアクションの両方がサービスに含まれている場合、選択肢が表示され、リソースを要求しないアクションを伴うルールまたはリソースを要求するアクションを伴うルールのどちらかを選択できます。


  11. 「了解」をクリックし、ルールを保存します。これは、設定をメモリに保存するだけです。手順 8 に従って、プロセスを完了してください。
  12. 手順 1 から 5 を繰り返して、追加のルールを作成します。
  13. ポリシーに対して作成されたすべてのルールが、「ルール」の表に表示されます。「保存」をクリックしてポリシーにルールを追加します。
  14. ポリシーからルールを削除するには、ルールを選択して「削除」をクリックします。

    ルール名の横にある「編集」リンクをクリックすれば、ルールの定義を編集できます。


目次