「ポリシー」タブを使用して、アクセス権を定義する標準ポリシーを変更することができます。複数のルール、対象、条件、およびリソースコンパレータを定義および設定できます。ここでは、標準ポリシーを変更する手順のいくつかについて説明します。
すでにポリシーを作成済みである場合は、ルールを追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って標準ポリシーを作成する」を参照してください。
「ルール」メニューから「新規」をクリックします。
次のデフォルトのサービスタイプから、ルール用に 1 つ選択します。ポリシーに複数のサービスが使用できる場合は、さらに多くのサービスが一覧表示されます。
ディスカバリサービスクエリー用の認証アクションを定義し、指定されたリソースについて、Web サービスクライアントによるプロトコル呼び出しを変更します。
Liberty 個人プロファイルサービスクエリー用の認証アクションを定義し、指定されたリソースについて、Web サービスクライアントによるプロトコル呼び出しを変更します。
ポリシーを適用するための URL ポリシーエージェントサービスを提供します。このサービスにより、管理者はポリシーエンフォーサ、つまりポリシーエージェントにより、ポリシーの作成および管理を行えます。
「次へ」をクリックします。
ルールの名前とリソース名を入力します。
現在、ポリシーエージェントでサポートされているリソースは http:// と https:// だけです。また、ホスト名の代わりに IP アドレスを使用することはできません。
ホスト名、ポート名、およびリソース名にはワイルドカードを使用できます。次に例を示します。
http*://*:*/*.html |
URL ポリシーエージェントサービスでは、ポート番号が入力されていない場合のデフォルトのポート番号は、http:// では 80、https:// では 443 となります。
ルールのアクションを選択します。URL ポリシーエージェントサービスを使用する場合は、次のアクションを選択できます。
GET
POST
アクションの値を選択します。
許可 — ルールに定義されたリソースに一致するリソースへのアクセスを許可
拒否 — ルールに定義されたリソースに一致するリソースへのアクセスを拒否
拒否するルールは許可するルールより優先度が高くなります。たとえばあるリソースに 2 つのポリシーがあり、1 つはアクセス拒否でもう 1 つはアクセス許可の場合、その結果はアクセスの拒否になります (両方のポリシーの条件が一致する場合)。拒否ポリシーを使用すると、ポリシー間で潜在的に衝突が生じるおそれがあるため、十分に注意して拒否ポリシーを使用することをお勧めします。ポリシー定義プロセスでは、許可するルールのみを使うべきです。リソースに適用するポリシーがない場合、アクセスは自動的に拒否されます。
拒否ルールを明示的に使用すると、1 つ以上のポリシーでアクセスが許可される場合でも、異なる対象 (ロールやグループのメンバーシップ) を通じてユーザーに割り当てられたポリシーによって、リソースへのアクセスを拒否されるおそれがあります。たとえば、1 つのリソースについて、Employee ロールに適用される拒否ポリシーと、Manager ロールに適用される許可ポリシーがあるとします。この場合、Employee ロールと Manager ロールの両方を割り当てられているユーザーへのポリシーの決定は拒否されます。
このような問題を解決する 1 つの方法は、条件プラグインを使ってポリシーを設計することです。上記の例では、Employee ロールに認証されたユーザーには拒否ポリシーを適用し、Manager ロールに認証されたユーザーには許可ポリシーを適用するという " ロール条件" を利用することで、2 つのポリシーを区別できます。Manager ロールにはより高い認証レベルが与えられることから、認証レベル条件を使用する方法もあります。
「終了」をクリックします。
すでにポリシーを作成済みである場合は、対象を追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って標準ポリシーを作成する」を参照してください。
「対象」リストから、「新規」をクリックします。
デフォルトの対象タイプを次の中から選択します。対象タイプの説明は、「対象」を参照してください。
「次へ」をクリックします。
対象の名前を入力します。
「排他的」フィールドを選択または選択解除します。
このフィールドが選択されていないと (デフォルト)、ポリシーは、対象のメンバーであるアイデンティティーに適用されます。このフィールドが選択されていると、ポリシーは、対象のメンバーではないアイデンティティーに適用されます。
ポリシーに複数の対象が存在する場合には、1 つ以上の対象のメンバーであるアイデンティティーにポリシーが適用されます。
検索を実行して、対象に追加するアイデンティティーを表示します。この手順は、「認証済みユーザー」対象や「Web サービスクライアント」対象には適用できません。
デフォルト (*) の検索パターンでは、すべてのエントリが表示されます。
対象に追加する個々のアイデンティティーを選択するか、または「すべて追加」を選択して一度にすべてのアイデンティティーを追加します。「追加」をクリックしてアイデンティティーを選択リストに移動します。この手順は、「認証済みユーザー」対象には適用されません。
「終了」をクリックします。
ポリシーから対象を削除するには、対象を選択して「 削除」をクリックします。対象の名前をクリックすると、対象の定義を編集できます。
すでにポリシーを作成済みである場合は、条件を追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って標準ポリシーを作成する」を参照してください。
「条件」リストから、「新規」をクリックします。
条件タイプを選択して、「次へ」をクリックします。
条件タイプのフィールドを定義します。条件タイプの説明は、「条件」を参照してください。
「終了」をクリックします。
すでにポリシーを作成済みである場合は、応答プロバイダを追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って標準ポリシーを作成する」を参照してください。
「応答プロバイダ」リストから、「新規」をクリックします。
応答プロバイダの名前を入力します。
次の値を定義します。
その名前と値が IDResponseProvider インスタンスに定義され、ポリシーに保存されている応答属性。
ここで選択する応答属性は、対応するレルムのポリシー設定サービス内で事前に定義されている必要があります。定義される属性名は、設定済みデータストア内に存在する属性名と同じになるようにしてください。属性の定義方法の詳細については、Access Manager のオンラインヘルプで、ポリシー設定属性定義の項目を参照してください。
「終了」をクリックします。
ポリシーから応答プロバイダを削除する場合は、そのプロバイダを選択し、「 削除」をクリックします。名前をクリックすると、応答プロバイダの定義を編集できます。