Sun ONE Portal Server, Secure Remote Access 6.2 管理者ガイド |
第 8 章
URL アクセス制御の設定この章では、特定の URL に対するゲートウェイ経由のエンドユーザーからのアクセスを許可または拒否する方法について説明します。この設定は、SunTM ONE Identity Server 管理コンソールの「SRA 設定」にある「アクセスリスト」で行います。
注
Secure Remote Access のすべての属性について簡単に調べるには、Identity Server 管理コンソールの右上に表示される「ヘルプ」をクリックし、 「Secure Remote Access 管理ヘルプ」をクリックします。
URL アクセス制御を設定するには、次の手順を実行します。
このページでは、次のタスクを実行できます。
URL 拒否リストの設定このフィールドでは、エンドユーザーがゲートウェイ経由でアクセスできないようにする URL のリストを指定できます。
ゲートウェイは、URL 許可リストをチェックする前に URL 拒否リストをチェックします。
URL 拒否リストを設定するには
- Identity Server 管理コンソールに管理者としてログインします。
- 「サービス設定」タブを選択します。
- 「SRA 設定」の下にある「アクセスリスト」の隣の矢印をクリックします。
「アクセスリスト」ページが表示されます。
- 「URL 拒否リスト」フィールドに、ゲートウェイ経由でのアクセスを拒否する URL を指定します。入力する URL の形式は次のとおりです。
http://abc.siroe.com
- 「追加」をクリックします。
「URL 拒否リスト」に URL が追加されます。
http://*.siroe.com などの正規表現も使用できます。この場合、siroe.com ドメインのすべてのホストへのアクセスが拒否されます。
- 「保存」をクリックし、変更内容を記録します。
URL 許可リストの設定エンドユーザーがゲートウェイ経由でアクセスできるすべての URL を指定できます。デフォルトでは、このリストには、すべての URL へのアクセスが許可されることを意味するワイルドカード (*) が入力されています。特定の URL を除くすべての URL へのアクセスを許可する場合は、アクセスを制限する URL を URL 拒否リストに追加します。同様に、特定の URL に対してだけアクセスを許可する場合は、「URL 拒否リスト」を空白にし、「URL 許可リスト」に適切な URL を指定します。
ゲートウェイは、URL 許可リストをチェックする前に URL 拒否リストをチェックします。
URL 許可リストを設定するには
シングルサインオンの管理Secure Remote Access のアクセスリストサービスを使用して、各種ホストのシングルサインオン (SSO) 機能を制御できます。ただし、シングルサインオン機能を有効にするには、ゲートウェイサービスで「HTTP 基本認証を有効」オプションが有効になっている必要があります。「HTTP 接続と HTTPS 接続の有効化」を参照してください。
アクセスリストサービスを使用して、特定ホストのシングルサインオンを無効にすることができます。つまり、セッションごとにシングルサインオンを有効にしている場合を除き、HTTP 基本認証を必要とするホストに接続するエンドユーザーは、毎回、認証が必要となります。
特定ホストのシングルサインオンを無効にしている場合でも、エンドユーザーは Portal Server の単一セッション内であれば、そのホストに何度でも接続できます。たとえば、abc.sesta.com へのシングルサインオンを無効にすると仮定します。ユーザーがこのサイトに最初に接続するときは、認証が必要です。ユーザーが他のページを参照してからこのページに戻った場合、同じ Portal Server セッション内のページであれば、認証は必要ありません。
ユーザーは、制限付き管理コンソールでこれらの属性を設定できます。
ホストの SSO を無効にするには
セッションごとに SSO を有効にするには
承認レベルを指定するには
アクセスリストインタフェースのカスタマイズアクセスリストのユーザーインタフェースのラベルを変更する場合は、Identity Server 管理コンソールでアクセスリストのプロパティファイルを編集します。次のファイルを編集します。
portal-server-install-root/SUNWam/locale/SRAGatewayAccess.properties
次の例は、カスタマイズ可能な行を示しています。
sunPortalGatewayAccessServiceDescription=Access List
d02=URL Allow List
d05=Policy to Enable/Disable SSO
d04=Enable SSO per Session
d03=Hosts for Which SSO is Disabled
d01=URL Deny List
d06=Allowed Auth levels
ラベルテキストは変更できますが、テキスト内の数値は変更できません。