| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
 前 |
 次 |
| Oracle® Fusion Middleware Oracle Access Management管理者ガイド 11g リリース2 (11.1.2.3) for All Platforms E61950-08 |
|
|
前 |
次 |
アクセスの許可ルール、アクセスの拒否ルールまたはこの両方が指定されていて、ユーザーがこれらの条件に該当しない場合、ユーザーはルールの対象外とされ、リクエストしたリソースへのアクセスをデフォルトで拒否されます。
ルールでは、リソースへのアクセスをユーザーに許可するか否かを指定するために次のことができます。
ユーザー名、ロールまたは、ユーザーが満たす必要のある基準を含むLDAPフィルタによって、ユーザーを識別します。
ユーザーがリソースへのアクセスに使用できるコンピュータを指定します。
ルールが適用される時間帯を設定します。
この項では次のトピックを記載しています:
ルールはAccess Manager 11gポリシー・モデルの新しい構造です。ルールによって、条件の評価結果を組み合せる方法が指定されます。また、各ルールには、全体的なポリシーの結果を決定するルール効果(ALLOWまたはDENY)が含まれます。
認可ルールでは、ポリシー、条件およびルールの評価中に実行するアクションと、その結果に基づく必要な操作が定義されます。結果は次の3つのいずれかになります。
True (アクセスの許可): アクセスの許可条件を満たす場合、ユーザーはルールのアクセスの許可部分の対象になります。
False (アクセスの拒否): アクセスの拒否条件を満たす場合、ユーザーはルールのアクセスの拒否部分の対象になります。
未確定: アクセスの許可条件もアクセスの拒否条件も満たさない場合、ルールはそのユーザーにとって対象外と呼ばれます。これは、ユーザーがルールの対象外であることと同じ意味です。ルールを評価した結果、ユーザーが対象外となった場合、ユーザーはそのルールに基づいてリソースへのアクセスを拒否されます。
場合によっては、単一の認可ルールが、アプリケーション・ドメインまたはポリシーのリソースを保護するための唯一の要件となります。ルールを構成して、そのルールによって保護されるリソースへのアクセスが許可されるユーザー、アクセスが拒否されるユーザー、およびこれらの制御が適用される条件(いつどのコンピュータから適用されるかなど)を識別できます。認可ルールに含まれるアクセスの許可条件およびアクセスの拒否条件で、すべてのユーザーを対象にする必要はありません。ルールによって保護されるリソースへのアクセスをリクエストしたが、いずれの条件も満たしていないユーザーは、そのリソースへのアクセスを拒否されます。
または、複数の認可条件からルールを構成してリソースを保護することが必要な場合もあります。異なるユーザーに対して複雑な条件を設けることもできます。たとえば、様々な認可条件を含むルールを定義し、それらの条件の1つ以上をユーザーが満たしているときにのみ、保護されているリソースへのアクセスを許可(または拒否)できます。たとえば、ユーザーがリソースへのアクセス権を付与されるには、2つの条件(あるグループに属し、かつ特定のIPアドレスが割り当てられているコンピュータを使用している、など)を満たす必要があると指定することもできます。
Oracle Access Managementコンソールを使用すると、認可ルールの式を簡単に作成できます。条件はルールの外部で宣言され、ルールの内部で参照されます。評価結果は、簡易モードと式モードのいずれかで結合されます。図25-27は、認可ポリシーの「ルール」タブを示しています。
表25-22は、簡易モードの評価の「ルール」タブに表示される要素およびコントロールを示しています。
表25-22 認可ポリシーの「ルール」の要素
| 要素 | 説明 |
|---|---|
ルール・モード |
条件およびルールの評価に使用される次の方法。
|
ルールの許可 |
ルールの評価および「選択した条件」リストの評価に基づいてアクセスを許可するルール。 |
ルールの拒否 |
ルールの評価および「選択した条件」リストの評価に基づいてアクセスを拒否するルール。 |
一致 |
「選択した条件」リストのすべての条件に一致させるか、「選択した条件」リストのいずれかの条件に一致させるかを選択する基準。 |
使用可能な条件 |
この認可ポリシー用に定義されたすべての条件のリスト。 |
選択した条件 |
ポリシーの評価プロセス用に構築する特定の条件のリスト。「使用可能な条件」リストからこのリストに項目を移動することによって構築します。 |
矢印型のコントロール |
矢印型のコントロールを使用すると、条件を「選択した条件」リストに追加できます(またはその逆に、選択されている条件を削除できます)。 |
ユーザーがリソースへのアクセスをリクエストし、そのリソースが認可条件およびルールで保護されている場合、そのユーザーに関する情報がルールのとおりであるかどうかを確認します。条件にその他の情報(条件が適用される時間帯や日時など)が指定されている場合は、その情報も確認されます。このプロセスは、ルールの評価と呼ばれます。
認可条件式は、単一のルール、またはより複雑な条件を表現するために組み合せた複数ルールのグループから構成されます。たとえば、ユーザーがリソースへのアクセス権を付与されるために2つのルールのアクセスの許可条件を満たすことを要求する式を作成できます。このような式を作成するには、Oracle Access Managementコンソールを使用します。式には次の要素が含まれます。
認可条件。認可ポリシー内で定義されている、使用可能な条件から選択します。
ルールを組み合せるための演算子。ルールの組合せにより、必要な認可保護を提供します(表25-24)。
複数の条件を含む式に対しては、ユーザーは式のどの条件の対象にもならない場合や、1つの条件の対象になる場合、または複数のルールの条件の対象になる場合があります。ユーザーにリソースへのアクセスが許可されるか拒否されるかは、常に式の評価結果(1つの条件ではなく、すべての条件とその組合せ)によって決まります。
認可条件式の最終結果について: Access Managerでは、最終的な結果を得られるまで、式に含まれる各ルールを評価します。認可条件式の評価では、最終結果として、アクセスの許可、アクセスの拒否または未確定のいずれかが戻されます。
図25-28は、式をルール・モードとして使用したときの「ルール」タブを示しています。
表25-23は、式モードの「ルール」タブに表示される要素を示しています。
表25-23 式モードの「ルール」タブ
| 要素 | 説明 |
|---|---|
ルール・モード |
条件およびルールの評価に使用される次の方法。
関連項目: 表25-24 |
ルールの許可 |
ルールの評価および「選択した条件」リストの評価に基づいてアクセスを許可するルール。 |
ルールの拒否 |
ルールの評価および「選択した条件」リストの評価に基づいてアクセスを拒否するルール。 |
条件 |
この認可ポリシー用に定義されたすべての条件のリストが提供されます。 |
挿入条件 |
選択した条件が式ウィンドウに追加されます。 |
検証 |
自動的に式の妥当性がテストされ、結果がレポートされます。 |
表25-24は、認可条件式の作成時に使用できる演算子を示しています。
表25-24 認可ルールの式の演算子
| 演算子 | 説明 |
|---|---|
( ) |
デフォルトでは、AND演算子で2つのルールを組み合せたものが、AND論理積条件になります。OR演算子の両側にあるルールは、少なくとも一方が満たされれば条件は成立します。カッコを使用してルールをグループ化しない場合は、AND演算子がOR演算子より優先されます。 カッコを使用すると、式のルールをグループ化するデフォルトの方法をオーバーライドできます。評価は引き続き左から右に実行されますが、ルールはカッコを使用して作成した組合せおよびグループ内で編成されます。 |
& |
AND演算子。認可ルールを組み合せて論理積条件を作成するのに使用します。AND演算子を使用すると、任意の数のルールを組み合せ、ユーザーが認可要件を満たすために従う必要がある一連の条件を実装できます。ただし、AND句の最終的な結果を得るには、ユーザーは、論理積条件の全ルールで同様の条件(アクセスの許可またはアクセスの拒否)を満たす必要があります。 認可条件式には、ANDで組み合されたルールの組合せまたはグループを複数個含めることができます。たとえば、複数のAND句を含めて、それぞれの句をOR演算子で接続できます。 |
| |
AND演算子。認可条件式には、複数の代替可能な認可条件が含まれる複合ルールを含めることができます。論理和条件を構成する認可ルールは、OR演算子を使用して組み合せます。OR論理和条件で指定した各認可ルールは、独立したルールになります。AND演算子を使用する論理積条件とは異なり、ユーザーは、OR演算子で接続された認可ルールのうち、ただ1つのルールの条件に対してのみ対象になる必要があります。 認可条件式には、保護するリソースに対して認可ポリシーを表すのに必要な数の認可ルールをOR演算子で接続して含めることができます。OR演算子は、アクセスの拒否条件のみを持つ認可ルール同士、アクセスの許可条件のみを持つ認可ルール同士、またはアクセスの拒否条件とアクセスの許可条件を組み合せて指定した認可ルール同士を接続するのに使用できます。ORを使用して1つのルールを1つのルールに接続できるのみでなく、ANDで組み合されたルールを含む句に1つのルールを接続することもできます。 |
認可ルールの評価結果(式に複数の認可ルールが含まれている場合は、それらの認可ルールとも組み合せた評価結果)により、リクエストしたリソースへのアクセス権がユーザーに付与されるかどうかが判定されます。
ルールの評価は、次のように実行されます。
式に指定された各認可ルールは、左から右に評価されます。結果は以前に評価されたルールと順次組み合されます。
評価結果が、それ以上他のルールを評価することなく、全体的なポリシーの結果を判断できるほど良好である場合、評価は終了し、全体的な結果が返されます。
各評価結果は、True、False、未確定のいずれかになります。
認可成功: この場合、ユーザーはリクエストしたリソースにアクセスできます。この結果は、式のアクセスの許可条件に関連付けられています。
認可失敗: この場合、ユーザーはリクエストしたリソースにアクセスできません。この結果は、式のアクセスの拒否条件に関連付けられています。
認可未確定: この場合、式のルールにより矛盾する結果がいくつか生成され、ユーザーはリソースへのアクセスを拒否されます。アイデンティティ、IP4アドレスまたはタイミング条件の一致が失敗した場合、式の評価は終了し、全体的な評価の結果は未確定と判断されます。ただし、式に含まれる他のルールによっては、この結果が全体的なポリシーの評価に影響を与えない場合があります。
たとえば、次のような式があります。
(Rule1 AND Rule 2) OR (Rule 3 AND Rule 4)
生成される結果は次のとおりです。
Rule1 - INCONCLUSIVE
Rule2 - FALSE
Rule3 - TRUE
Rule4 - TRUE
全体: TRUE (許可)
次のサンプル式では、(タイプ順)アイデンティティ、一時的、IP4範囲および属性条件を使用します。
(IsEMEAemployee & IsEMEAWorkingHours & !(ConnectedOverVPN |NotReadDisclaimer))
スペース、タブまたは特殊文字を含む条件名(式を定義するときに正しくエスケープされている場合)は、正しく処理されます。
有効な管理者の資格証明を持つユーザーは、ルールを認可ポリシーに追加できます。
前提条件
関連項目:
認可ポリシー・ルールを定義するには
「認可ポリシーの検索」の説明に従って、目的のドメインを検索します。
「ルール」タブをクリックします。
式:
簡易ルール・モード:
「ルール・モード」で「簡易」をクリックします。
ルールの許可:
一致させる次のいずれかの内容をクリックします。
「ルールの許可」または「ルールの拒否」の矢印を使用して、「使用可能な条件」列から「選択した条件」列に目的の条件を移動します。
「適用」をクリックします。
「ルールの拒否」でステップbを繰り返します。
「適用」をクリックして、確認ウィンドウを閉じます。
リソースにアクセスして結果を評価することによって、ルールを検証します。
