test

Sun Java System Access Manager 7.1 管理ガイド

Procedure標準ポリシーのルールを追加または変更する

  1. すでにポリシーを作成済みである場合は、ルールを追加するポリシーの名前をクリックします。ポリシーを作成済みでない場合は、「Access Manager コンソールを使って標準ポリシーを作成する」を参照してください。

  2. 「ルール」メニューから「新規」をクリックします。

  3. 次のデフォルトのサービスタイプから、ルール用に 1 つ選択します。ポリシーに複数のサービスが使用できる場合は、さらに多くのサービスが一覧表示されます。

    ディスカバリサービス

    ディスカバリサービスクエリー用の認証アクションを定義し、指定されたリソースについて、Web サービスクライアントによるプロトコル呼び出しを変更します。

    Liberty 個人プロファイルサービス

    Liberty 個人プロファイルサービスクエリー用の認証アクションを定義し、指定されたリソースについて、Web サービスクライアントによるプロトコル呼び出しを変更します。

    URL ポリシーエージェント

    URL ポリシーエージェントサービス用の認証アクションを定義します。このサービスは、HTTP および HTTPS の URL を保護するポリシーの定義に使用します。このサービスは、Access Manager ポリシーのもっとも一般的な使用例です。

  4. 「次へ」をクリックします。

  5. ルールの名前とリソース名を入力します。

    現在、Access Manager ポリシーエージェントでサポートされているリソースは http://https:// だけです。また、ホスト名の代わりに IP アドレスを使用することはできません。

    プロトコル、ホスト、ポート、およびリソース名にはワイルドカードを使用できます。次に例を示します。


    http*://*:*/*.html

    URL ポリシーエージェントサービスでは、ポート番号が入力されていない場合のデフォルトのポート番号は、http:// では 80、https:// では 443 となります。

  6. ルールのアクションを選択します。サービスタイプに応じて、次のアクションを選択できます。

    • LOOKUP (ディスカバリサービス)

    • UPDATE (ディスカバリサービス)

    • MODIFY (Liberty 個人プロファイルサービス)

    • QUERY (Liberty 個人プロファイルサービス)

    • GET (URL ポリシーエージェント)

    • POST (URL ポリシーエージェント)

  7. アクションの値を選択します。

    • 同意を求める対話プロトコルの呼び出し — リソースに関する同意を求める Liberty 対話プロトコルを呼び出します。これは、Liberty 個人プロファイルサービスタイプにのみ使用できます。

    • 値を求める対話プロトコルの呼び出し — リソースに関する値を求める Liberty 対話プロトコルを呼び出します。これは、Liberty 個人プロファイルサービスタイプにのみ使用できます。

    • 許可 — ルールに定義されたリソースに一致するリソースへのアクセスを許可

    • 拒否 — ルールに定義されたリソースに一致するリソースへのアクセスを拒否

      ポリシーでは、拒否ルールが許可ルールよりも優先されます。たとえばあるリソースに 2 つのポリシーがあり、1 つはアクセス拒否でもう 1 つはアクセス許可の場合、その結果はアクセスの拒否になります (両方のポリシーの条件が一致する場合)。拒否ポリシーを使用すると、ポリシー間で潜在的に衝突が生じるおそれがあるため、十分に注意して拒否ポリシーを使用することをお勧めします。通常は、ポリシー定義プロセスでは許可ルールだけを使用し、拒否の場合を実現するのに適用するポリシーがない場合にデフォルトの拒否を使用してください。

      拒否ルールを明示的に使用すると、1 つ以上のポリシーでアクセスが許可される場合でも、異なる対象 (ロールやグループのメンバーシップ) を通じてユーザーに割り当てられたポリシーによって、リソースへのアクセスを拒否されるおそれがあります。たとえば、1 つのリソースについて、Employee ロールに適用される拒否ポリシーと、Manager ロールに適用される許可ポリシーがあるとします。この場合、Employee ロールと Manager ロールの両方を割り当てられているユーザーへのポリシーの決定は拒否されます。

      このような問題を解決する 1 つの方法は、条件プラグインを使ってポリシーを設計することです。上記の例では、Employee ロールに認証されたユーザーには拒否ポリシーを適用し、Manager ロールに認証されたユーザーには許可ポリシーを適用するという "ロール条件" を利用することで、2 つのポリシーを区別できます。Manager ロールにはより高い認証レベルが与えられることから、認証レベル条件を使用する方法もあります。

  8. 「終了」をクリックします。