Sun ロゴ      前へ      目次      索引      次へ     

Sun ONE Portal Server, Secure Remote Access 6.2 管理者ガイド

第 8 章
URL アクセス制御の設定

この章では、特定の URL に対するゲートウェイ経由のエンドユーザーからのアクセスを許可または拒否する方法について説明します。この設定は、SunTM ONE Identity Server 管理コンソールの「SRA 設定」にある「アクセスリスト」で行います。

Secure Remote Access のすべての属性について簡単に調べるには、Identity Server 管理コンソールの右上に表示される「ヘルプ」をクリックし、 「Secure Remote Access 管理ヘルプ」をクリックします。

URL アクセス制御を設定するには、次の手順を実行します。

  1. Identity Server 管理コンソールに管理者としてログインします。
  2. 管理コンソールの「サービス設定」タブを選択します。
  3. 「SRA 設定」の下にある「アクセスリスト」の隣の矢印をクリックします。

    4. 「アクセスリスト」ページが表示されます。

このページでは、次のタスクを実行できます。

URL 拒否リストの設定

このフィールドでは、エンドユーザーがゲートウェイ経由でアクセスできないようにする URL のリストを指定できます。

ゲートウェイは、URL 許可リストをチェックする前に URL 拒否リストをチェックします。

URL 拒否リストを設定するには
  1. Identity Server 管理コンソールに管理者としてログインします。
  2. 「サービス設定」タブを選択します。
  3. 「SRA 設定」の下にある「アクセスリスト」の隣の矢印をクリックします。

    4. 「アクセスリスト」ページが表示されます。

  4. 「URL 拒否リスト」フィールドに、ゲートウェイ経由でのアクセスを拒否する URL を指定します。入力する URL の形式は次のとおりです。

    5. http://abc.siroe.com

  5. 「追加」をクリックします。

    6. 「URL 拒否リスト」に URL が追加されます。

    http://*.siroe.com などの正規表現も使用できます。この場合、siroe.com ドメインのすべてのホストへのアクセスが拒否されます。

  6. 「保存」をクリックし、変更内容を記録します。

URL 許可リストの設定

エンドユーザーがゲートウェイ経由でアクセスできるすべての URL を指定できます。デフォルトでは、このリストには、すべての URL へのアクセスが許可されることを意味するワイルドカード (*) が入力されています。特定の URL を除くすべての URL へのアクセスを許可する場合は、アクセスを制限する URL を URL 拒否リストに追加します。同様に、特定の URL に対してだけアクセスを許可する場合は、「URL 拒否リスト」を空白にし、「URL 許可リスト」に適切な URL を指定します。

ゲートウェイは、URL 許可リストをチェックする前に URL 拒否リストをチェックします。

URL 許可リストを設定するには
  1. Identity Server 管理コンソールに管理者としてログインします。
  2. 「サービス設定」タブを選択します。
  3. 「SRA 設定」の下にある「アクセスリスト」の隣の矢印をクリックします。

    4. 「アクセスリスト」ページが表示されます。

  4. 「URL 許可リスト」フィールドに、ゲートウェイ経由でのアクセスを許可する URL を指定します。入力する URL の形式は次のとおりです。

    5. http://abc.siroe.com

  5. 「追加」をクリックします。

    6. 「URL 許可リスト」に URL が追加されます。

    デフォルトでは、「URL 許可リスト」には、すべての URL へのアクセスが 許可されることを意味するワイルドカード (*) が入力されています。

  6. 「保存」をクリックし、変更内容を記録します。

シングルサインオンの管理

Secure Remote Access のアクセスリストサービスを使用して、各種ホストのシングルサインオン (SSO) 機能を制御できます。ただし、シングルサインオン機能を有効にするには、ゲートウェイサービスで「HTTP 基本認証を有効」オプションが有効になっている必要があります。「HTTP 接続と HTTPS 接続の有効化」を参照してください。

アクセスリストサービスを使用して、特定ホストのシングルサインオンを無効にすることができます。つまり、セッションごとにシングルサインオンを有効にしている場合を除き、HTTP 基本認証を必要とするホストに接続するエンドユーザーは、毎回、認証が必要となります。

特定ホストのシングルサインオンを無効にしている場合でも、エンドユーザーは Portal Server の単一セッション内であれば、そのホストに何度でも接続できます。たとえば、abc.sesta.com へのシングルサインオンを無効にすると仮定します。ユーザーがこのサイトに最初に接続するときは、認証が必要です。ユーザーが他のページを参照してからこのページに戻った場合、同じ Portal Server セッション内のページであれば、認証は必要ありません。

ユーザーは、制限付き管理コンソールでこれらの属性を設定できます。

ホストの SSO を無効にするには
  1. Identity Server 管理コンソールに管理者としてログインします。
  2. 「サービス設定」タブを選択します。
  3. 「SRA 設定」の下にある「アクセスリスト」の隣の矢印をクリックします。

    4. 「アクセスリスト」ページが表示されます。

  4. 「SSO が無効のホスト」フィールドに、SSO を無効にするホストを指定します。

    5. ホスト名は abc.siroe.com の形式で指定します。

  5. 「追加」をクリックします。

    6. ホスト名がリストに追加されます。

  6. 「保存」をクリックし、変更内容を記録します。
セッションごとに SSO を有効にするには
  1. Identity Server 管理コンソールに管理者としてログインします。
  2. 「サービス設定」タブを選択します。
  3. 「SRA 設定」の下にある「アクセスリスト」の隣の矢印をクリックします。

    4. 「アクセスリスト」ページが表示されます。

  4. 「各セッションの SSO を有効」チェックボックスにチェックマークを付け、シングルサインオンセッションを有効化します。
  5. 「保存」をクリックし、変更内容を記録します。
承認レベルを指定するには
  1. Identity Server 管理コンソールに管理者としてログインします。
  2. 「サービス設定」タブを選択します。
  3. 「SRA 設定」の下にある「アクセスリスト」の隣の矢印をクリックします。

    4. 「アクセスリスト」ページが表示されます。

  4. 「許可される認証レベル」フィールドまでスクロールします。
  5. 許可される承認を入力します。すべてのレベルを許可するときは、アスタリスク (*) を入力します。
  6. 「保存」をクリックし、変更内容を記録します。

アクセスリストインタフェースのカスタマイズ

アクセスリストのユーザーインタフェースのラベルを変更する場合は、Identity Server 管理コンソールでアクセスリストのプロパティファイルを編集します。次のファイルを編集します。

portal-server-install-root/SUNWam/locale/SRAGatewayAccess.properties

次の例は、カスタマイズ可能な行を示しています。

sunPortalGatewayAccessServiceDescription=Access List

d02=URL Allow List

d05=Policy to Enable/Disable SSO

d04=Enable SSO per Session

d03=Hosts for Which SSO is Disabled

d01=URL Deny List

d06=Allowed Auth levels

ラベルテキストは変更できますが、テキスト内の数値は変更できません。



前へ      目次      索引      次へ     

Copyright 2003 Sun Microsystems, Inc. All rights reserved.