25.9 認可ポリシー・ルールおよび条件の概要

Access Manager 11gでは、各認可ポリシーに、そのポリシーによって保護されるリソースへのアクセスを許可するか拒否するかを定義するルールが含まれます。ルールでは、アクセスを許可または拒否されるユーザーや移入を定義する条件、および認可に関するその他の考慮事項が参照されます。認可ルールおよび条件は、特定の認可ポリシー内のすべてのリソースに適用されます。

条件およびルールの評価により、認可ポリシーを着信リクエストに適用するかどうかが決定されます。認証に成功した後、適切な必須処理が有効になり、定義された認可ルール、条件およびレスポンスと連携して動作します。着信リクエストごとに、認可ポリシーによって、適用される条件が存在するかどうかが決定されます。その場合、これらの条件が評価されます。

この項では次のトピックを記載しています:

• 許可または拒否ルールについて

• 認可ポリシーの条件

• 条件のユーザーおよびグループの分類について

• 条件に基づく認可レスポンスのガイドライン

25.9.1 許可または拒否ルールについて

認可ポリシーでは、そのポリシー用に定義されたすべての条件(またはサブセット)がルールに含まれます。ルールの影響によって、ポリシーの影響が決まります。ポリシーごとに、1つ以上のルールの影響(結果)を設定できます。ただし、結果ごとに指定できるルールは1つのみです。

次の結果を認可およびトークン発行ポリシーに適用できます。

• 認可されたユーザーによる、保護されたリソースへのアクセスを許可します。許可条件がユーザーに適用されない場合、ユーザーがポリシーの対象外となり、デフォルトでリクエストしたリソースへのユーザーのアクセスが拒否されます。

• 認可されたユーザーによる、保護されたリソースへのアクセスを拒否します。

単一条件に依存する単純なルールを作成するか、式を使用して複数の条件に基づくより複雑なルールを定義します。詳細は、「式および式ベースのポリシー」を参照してください。

25.9.2 認可ポリシーの条件

条件は、アクセス・リクエストで満たす必要がある1つ以上の基準を指定する要素です。各認可ポリシーには1つ以上の条件を含めることができます。

条件の構造は制約と似ています(11.1.1.3および11.1.1.5を参照)。ただし、以前の制約に含まれていた許可および拒否ルールは、個別に「ルール」タブで指定されます。

様々な条件タイプを使用すると、次のことが可能になります。

• 保護されたリソースへのアクセスが(ルールに基づいて)許可または拒否されるユーザーまたはユーザー・グループの識別。

• 保護されたリソースのアクセスを許可または拒否するIPアドレスの範囲の指定。

  ノート:

  ユーザーのIPアドレスが拒否されるアドレスの範囲外の場合、認可は成功しません。認可を成功させるには、許可ルールに基づいてユーザーに具体的にアクセス権を付与する必要があります。

• 条件の適用期間を定義する時間の設定。

• リクエスト・コンテキスト、ユーザー・セッションの状態およびユーザー属性の評価を実行する属性の指定。

「条件」タブでは、図25-16のように、名前別に整理された定義済条件の表、および選択した条件の詳細を示す表が提供されます。

図25-16 個々の認可ポリシーの「条件」タブ

「図25-16 個々の認可ポリシーの「条件」タブ」の説明

表25-11は、「条件」タブの要素およびコントロールを示しています。

表25-11 認可ポリシーの「条件」タブ

要素	説明
「条件」の表の要素	このポリシー用に定義されたすべての条件をリストします。
名前	条件の識別子として使用される一意の名前。
タイプ	使用する条件の種類。次のタイプから1つのみ指定できます。 アイデンティティ IP4範囲 一時的 属性 True (表21-5を参照)
説明	この条件を説明するオプションの一意のテキスト。
「条件詳細」セクション	この表の情報は、選択した条件のタイプによって異なります。詳細は、次を参照してください。 「アイデンティティ条件について」 「IP4範囲条件タイプ」 「一時的条件」 「属性タイプ条件」

25.9.3 条件のユーザーおよびグループの分類について

ユーザーおよびグループを分析して明示的にアクセスを許可または拒否するユーザーを決定する場合、ポリシーおよび条件に同じ情報を使用することをお薦めします。

たとえば、特定のユーザー・グループ(アイデンティティ・タイプ)に制約される認可ポリシーがある場合、特定の時間(一時的タイプ)に制約される認可ポリシーがある可能性があります。

ノート:

任意の条件でアクセスを拒否されるユーザーについては気にしないでください。どのアクセス条件も満たしていない場合、デフォルトでユーザーのアクセスは拒否されます。

ユーザーを分類する場合、ユーザーおよびユーザー・グループを異なる条件が適用されるグループに分割することをお薦めします。たとえば、ユーザーがリソースにアクセスできる時間帯や、ユーザーがリクエストを行う場合に使用する必要があるコンピュータなどの条件を指定できます。

マーケティング・グループのユーザーが特定のプロジェクト・グループに属し、人事管理グループのユーザーもプロジェクト・グループに属する場合などの一部のユーザーが複数のカテゴリに該当する場合、両方のカテゴリにユーザーを配置します。ユーザーが2つの条件を満たすことを必須にできます。

アプリケーション・ドメイン内でリソースのサブセットに対してポリシーを作成し、そのサブセットを別の認可ルールおよび条件で保護するには、同じ情報、つまり、このポリシーによって保護されるリソースへのアクセスをどのユーザーに許可し、どのような条件でリソースへのアクセスを明示的に許可または拒否するのかを検討します。

25.9.4 条件に基づく認可レスポンスのガイドライン

条件タイプごとに、認可されたユーザーに発生するレスポンス・アクションを検討します。

戻されたユーザー・プロファイル情報をダウンストリーム・アプリケーションに渡すこともできます。次に例を示します。

• ユーザーが認可されている場合、アプリケーションでカスタマイズされたメッセージをユーザーに表示できるように、ユーザーの共通名(cn)を別のアプリケーションに渡すことができます。

• ユーザーに使用権が認可されない場合も、ユーザーに関する情報が戻されると、セキュリティのために役立ちます。