ポリシーの管理

標準または参照ポリシーを作成し、Access Manager に追加したあとは、ポリシーの管理は、Access Manager のコンソールを使用して、ルール、対象、条件と参照を変更することにより行えます。

標準ポリシーの修正

「ポリシー」タブを使用して、アクセス権を定義する標準ポリシーを変更することができます。複数のルール、対象、条件、およびリソースコンパレータを定義および設定できます。ここでは、標準ポリシーを変更する手順のいくつかについて説明します。

標準ポリシーのルールを追加または変更する

1. すでにポリシーを作成済みである場合は、ルールを追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って標準ポリシーを作成する」を参照してください。

2. 「ルール」メニューから「新規」をクリックします。

3. 次のデフォルトのサービスタイプから、ルール用に 1 つ選択します。ポリシーに複数のサービスが使用できる場合は、さらに多くのサービスが一覧表示されます。

   ディスカバリサービス

   ディスカバリサービスクエリー用の認証アクションを定義し、指定されたリソースについて、Web サービスクライアントによるプロトコル呼び出しを変更します。

   Liberty 個人プロファイルサービス

   Liberty 個人プロファイルサービスクエリー用の認証アクションを定義し、指定されたリソースについて、Web サービスクライアントによるプロトコル呼び出しを変更します。

   URL ポリシーエージェント

   URL ポリシーエージェントサービス用の認証アクションを定義します。このサービスは、HTTP および HTTPS の URL を保護するポリシーの定義に使用します。このサービスは、Access Manager ポリシーのもっとも一般的な使用例です。

4. 「次へ」をクリックします。

5. ルールの名前とリソース名を入力します。

   現在、Access Manager ポリシーエージェントでサポートされているリソースは http:// と https:// だけです。また、ホスト名の代わりに IP アドレスを使用することはできません。

   プロトコル、ホスト、ポート、およびリソース名にはワイルドカードを使用できます。次に例を示します。

   http*://*:*/*.html

   URL ポリシーエージェントサービスでは、ポート番号が入力されていない場合のデフォルトのポート番号は、http:// では 80、https:// では 443 となります。

6. ルールのアクションを選択します。サービスタイプに応じて、次のアクションを選択できます。

   • LOOKUP (ディスカバリサービス)

   • UPDATE (ディスカバリサービス)

   • MODIFY (Liberty 個人プロファイルサービス)

   • QUERY (Liberty 個人プロファイルサービス)

   • GET (URL ポリシーエージェント)

   • POST (URL ポリシーエージェント)

7. アクションの値を選択します。

   • 同意を求める対話プロトコルの呼び出し — リソースに関する同意を求める Liberty 対話プロトコルを呼び出します。これは、Liberty 個人プロファイルサービスタイプにのみ使用できます。

   • 値を求める対話プロトコルの呼び出し — リソースに関する値を求める Liberty 対話プロトコルを呼び出します。これは、Liberty 個人プロファイルサービスタイプにのみ使用できます。

   • 許可 — ルールに定義されたリソースに一致するリソースへのアクセスを許可

   • 拒否 — ルールに定義されたリソースに一致するリソースへのアクセスを拒否

     ポリシーでは、拒否ルールが許可ルールよりも優先されます。たとえばあるリソースに 2 つのポリシーがあり、1 つはアクセス拒否でもう 1 つはアクセス許可の場合、その結果はアクセスの拒否になります (両方のポリシーの条件が一致する場合)。拒否ポリシーを使用すると、ポリシー間で潜在的に衝突が生じるおそれがあるため、十分に注意して拒否ポリシーを使用することをお勧めします。通常は、ポリシー定義プロセスでは許可ルールだけを使用し、拒否の場合を実現するのに適用するポリシーがない場合にデフォルトの拒否を使用してください。

     拒否ルールを明示的に使用すると、1 つ以上のポリシーでアクセスが許可される場合でも、異なる対象 (ロールやグループのメンバーシップ) を通じてユーザーに割り当てられたポリシーによって、リソースへのアクセスを拒否されるおそれがあります。たとえば、1 つのリソースについて、Employee ロールに適用される拒否ポリシーと、Manager ロールに適用される許可ポリシーがあるとします。この場合、Employee ロールと Manager ロールの両方を割り当てられているユーザーへのポリシーの決定は拒否されます。

     このような問題を解決する 1 つの方法は、条件プラグインを使ってポリシーを設計することです。上記の例では、Employee ロールに認証されたユーザーには拒否ポリシーを適用し、Manager ロールに認証されたユーザーには許可ポリシーを適用するという "ロール条件" を利用することで、2 つのポリシーを区別できます。Manager ロールにはより高い認証レベルが与えられることから、認証レベル条件を使用する方法もあります。

8. 「終了」をクリックします。

標準ポリシーの対象を追加および変更する

1. すでにポリシーを作成済みである場合は、対象を追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って標準ポリシーを作成する」を参照してください。

2. 「対象」リストから、「新規」をクリックします。

3. デフォルトの対象タイプを次の中から選択します。対象タイプの説明は、「対象」を参照してください。

4. 「次へ」をクリックします。

5. 対象の名前を入力します。

6. 「排他的」フィールドを選択または選択解除します。

   このフィールドが選択されていないと (デフォルト)、ポリシーは、対象のメンバーであるアイデンティティーに適用されます。このフィールドが選択されていると、ポリシーは、対象のメンバーではないアイデンティティーに適用されます。

   ポリシーに複数の対象が存在する場合は、指定されたアイデンティティーにポリシーが適用されることが少なくとも 1 つの対象で示されている場合に、そのポリシーがアイデンティティーに適用されます。

7. 検索を実行して、対象に追加するアイデンティティーを表示します。この手順は、「認証済みユーザー」対象や「Web サービスクライアント」対象には適用できません。

   デフォルト (*) の検索パターンでは、該当するすべてのエントリが表示されます。

8. 対象に追加する個々のアイデンティティーを選択するか、または「すべて追加」を選択して一度にすべてのアイデンティティーを追加します。「追加」をクリックしてアイデンティティーを選択リストに移動します。この手順は、「認証済みユーザー」対象には適用されません。

9. 「終了」をクリックします。

10. ポリシーから対象を削除するには、対象を選択して「 削除」をクリックします。対象の名前をクリックすると、対象の定義を編集できます。

標準ポリシーに条件を追加する

1. すでにポリシーを作成済みである場合は、条件を追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って標準ポリシーを作成する」を参照してください。

2. 「条件」リストから、「新規」をクリックします。

3. 条件タイプを選択して、「次へ」をクリックします。

4. 条件タイプのフィールドを定義します。

5. 「終了」をクリックします。

標準ポリシーに応答プロバイダを追加する

1. すでにポリシーを作成済みである場合は、応答プロバイダを追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って標準ポリシーを作成する」を参照してください。

2. 「応答プロバイダ」リストから、「新規」をクリックします。

3. 応答プロバイダの名前を入力します。

4. 次の値を定義します。

   StaticAttribute

   属性値形式の静的属性であり、ポリシーに保存されている IDResponseProvider のインスタンスに定義されています。

   DynamicAttribute

   ここで選択する応答属性は、対応するレルムのポリシー設定サービス内で事前に定義されている必要があります。定義する属性名は、設定済みデータストア (IDRepository) 内に存在する属性名のサブセットになるようにしてください。属性の定義方法の詳細については、ポリシー設定属性定義を参照してください。特定または複数の属性を選択するには、Ctrl キーを押しながらマウスの左ボタンをクリックします。

5. 「終了」をクリックします。

6. ポリシーから応答プロバイダを削除する場合は、そのプロバイダを選択し、「削除」をクリックします。名前をクリックすると、応答プロバイダの定義を編集できます。

参照ポリシーの修正

参照ポリシーを使用すると、あるレルムのポリシーの定義や判断を別のレルムに委任できます。カスタム参照を使用すると、任意のポリシー適用先からポリシー決定を取得できます。参照ポリシーを作成したら、関連付けられているルール、参照、および応答プロバイダを追加または変更できます。

参照ポリシーのルールを追加および変更する

1. すでにポリシーを作成済みである場合は、ルールを追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って参照ポリシーを作成する 」を参照してください。

2. 「ルール」メニューから「新規」をクリックします。

3. 次のデフォルトのサービスタイプから、ルール用に 1 つ選択します。ポリシーに複数のサービスが使用できる場合は、さらに多くのサービスが一覧表示されます。

   ディスカバリサービス

   ディスカバリサービスクエリー用の認証アクションを定義し、指定されたリソースについて、Web サービスクライアントによるプロトコル呼び出しを変更します。

   Liberty 個人プロファイルサービス

   Liberty 個人プロファイルサービスクエリー用の認証アクションを定義し、指定されたリソースについて、Web サービスクライアントによるプロトコル呼び出しを変更します。

   URL ポリシーエージェント

   URL ポリシーエージェントサービス用の認証アクションを定義します。このサービスは、HTTP および HTTPS の URL を保護するポリシーの定義に使用します。このサービスは、Access Manager ポリシーのもっとも一般的な使用例です。

4. 「次へ」をクリックします。

5. ルールの名前とリソース名を入力します。

   現在、Access Manager ポリシーエージェントでサポートされているリソースは http:// と https:// だけです。また、ホスト名の代わりに IP アドレスを使用することはできません。

   プロトコル、ホスト、ポート、およびリソース名にはワイルドカードを使用できます。次に例を示します。

   http*://*:*/*.html

   URL ポリシーエージェントサービスでは、ポート番号が入力されていない場合のデフォルトのポート番号は、http:// では 80、https:// では 443 となります。

6. 「終了」をクリックします。

ポリシーの参照を追加または変更する

1. すでにポリシーを作成済みである場合は、応答プロバイダを追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って参照ポリシーを作成する 」を参照してください。

2. 「参照」リストから、「新規」をクリックします。

3. 「ルール」フィールドにリソースを定義します。フィールドには、次のものがあります。

   参照— 現在の参照タイプが表示されます。

   名前— 参照の名前を入力します。

   リソース名— リソースの名前を入力します。

   フィルタ— 「値」フィールドに表示するレルム名を絞り込むためのフィルタを指定します。デフォルトでは、すべてのレルム名が表示されます。

   値 — 参照のレルム名を選択します。

4. 「終了」をクリックします。

   ポリシーから参照を削除するには、参照を選択して「削除」をクリックします。

   参照名の横にある「編集」リンクをクリックすれば、参照の定義を編集できます。

参照ポリシーに応答プロバイダを追加する

1. すでにポリシーを作成済みである場合は、応答プロバイダを追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って参照ポリシーを作成する 」を参照してください。

2. 「応答プロバイダ」リストから、「新規」をクリックします。

3. 応答プロバイダの名前を入力します。

4. 次の値を定義します。

   StaticAttribute

   属性値形式の静的属性であり、ポリシーに保存されている IDResponseProvider のインスタンスに定義されています。

   DynamicAttribute

   ここで選択する応答属性は、対応するレルムのポリシー設定サービス内で事前に定義されている必要があります。定義する属性名は、設定済みデータストア (IDRepository) 内に存在する属性名のサブセットになるようにしてください。属性の定義方法の詳細については、ポリシー設定属性定義を参照してください。特定または複数の属性を選択するには、Ctrl キーを押しながらマウスの左ボタンをクリックします。

5. 「終了」をクリックします。

6. ポリシーから応答プロバイダを削除する場合は、そのプロバイダを選択し、「削除」をクリックします。名前をクリックすると、応答プロバイダの定義を編集できます。