25.6 特定のリソースに対する認証ポリシーの定義

1つの認証ポリシーでのみ、アプリケーション・ドメインに割り当てられる各リソースを保護できます。リソース定義をアプリケーション・ドメインに追加した後、管理者は、デフォルトの認証ポリシーの変更、新しいポリシーの追加、および認証ポリシーへのリソースの割当てを開始できます。

自動的に生成されたアプリケーション・ドメインでは、次の認証ポリシーがデフォルトとしてシードされ、管理者のタスクを効率化できます。

保護されているリソース
パブリック・リソース

関連項目:

「アプリケーション・ドメインおよびポリシーの管理の理解」

この項では次のトピックを記載しています:

25.6.1 認証ポリシー・ページ

管理者は、認証ポリシーを使用して特定のリソースを保護できます。認証ポリシーは、ポリシーで制御されたリソースの唯一の認証方式を提供します。

各認証ポリシーにより、Access Managerの十分な信頼レベルを提供してリクエストを実行するユーザーにアクセス権を付与するために実行する必要がある検証のタイプが定義されます。

認証ポリシーはローカルです。単一のポリシーを定義して、アプリケーション・ドメインの1つ以上のリソースを保護できます。ただし、1つの認証ポリシーでのみ、各リソースを保護できます。

認証ポリシーのガイドライン

認証ポリシーには、リソース、成功レスポンスおよび認証スキームが含まれます。
認証および認可ポリシーを成功または失敗で評価できます。
クエリー・ビルダーおよびLDAPフィルタのサポート(特定の表示タイプの属性に基づく一致を取得する場合など)。
決められた範囲内で使用できるリソース/…/*のポリシーを定義できます。
トークン発行ポリシーは、リソースおよびユーザー・ベースまたはパートナに基づく条件を使用して定義できます。

図25-13は、アプリケーション・ドメインの「認証ポリシー」ページを示しています。

図25-13 アプリケーション・ドメインの「認証ポリシー」ページの例

「図25-13 アプリケーション・ドメインの「認証ポリシー」ページの例」の説明

図25-14は、特定の認証ポリシーを示しています。このポリシーに割り当てられたリソースがポリシーの「リソース」タブに表示されます。

図25-14 個々の「認証ポリシー」ページの例

「図25-14 個々の「認証ポリシー」ページの例」の説明

表25-9は、認証ポリシーの要素を示しています。

表25-9 認証ポリシーの要素および説明

要素	説明
名前	識別子として使用される一意の名前。
説明	認証ポリシーを説明するオプションの一意のテキスト。
認証スキーム	ユーザー認証のためにポリシーで使用される単一の事前定義された認証スキーム。関連項目: 詳細は、「認証スキームの管理」を参照してください。
成功URL	認証の成功時に使用されるリダイレクトURL。
失敗URL	認証の失敗時に使用されるリダイレクトURL。
リソース	リストから選択されたリソースのURL。リストされるURLは、以前にアプリケーション・ドメインに追加されたものです。認証ポリシーで保護する1つ以上のリソースを追加できます。リソース定義は、ポリシーに含める前にアプリケーション・ドメイン内に存在する必要があります。関連項目: 「認証ポリシーのリソース」。
レスポンス	Webエージェントで実行される必須処理(認証後のアクション)。認証に成功すると、保護されたアプリケーションをホストするアプリケーション・サーバーは、これらのレスポンスに基づいてユーザー・アイデンティティをアサートできる必要があります。認証に失敗すると、ブラウザはリクエストを事前構成されたURLにリダイレクトします。関連項目: 「SSOのポリシー・レスポンスの概要」。

25.6.1.1 認証ポリシーのリソース

認証ポリシーで保護する1つ以上のリソースを追加できます。

認証ポリシー・ページの「リソース」タブには、リソースURLを入力できる表が用意されています。アプリケーション・ドメイン内の定義済リソースから選択できるリストも用意されています。

リソースを追加するには、「+」ボタンをクリックして、リストから選択します。リソースを削除するには、「リソース」表から名前を選択して、表の「削除」ボタンをクリックします。

25.6.2 特定のリソース用の認証ポリシーの作成

有効な管理者の資格証明を持つユーザーは、認証ポリシーおよびリソースをアプリケーション・ドメインに追加できます。認証ポリシーの事前構成された認証スキームまたはカスタム認証スキームを使用できます。

関連項目:

前提条件

ポリシーに追加するリソースは、ポリシーと同じアプリケーション・ドメイン内で定義する必要があります。

特定のリソースの認証ポリシーを追加するには、次の手順を実行します。

「既存のアプリケーション・ドメインの検索」の説明に従って、目的のドメインを検索します。
「認証ポリシー」タブをクリックし、次に「認証ポリシーの作成」ボタンをクリックして、新しいページを開きます。
必須要素: このポリシーの情報を追加します。
- 名前
- 認証スキーム
オプション要素(表25-9): ポリシーに必要な場合は追加します。
- 説明(オプション)
- 成功URL
- 失敗URL
ヒント:
「認可ポリシーの成功および失敗のURLの構成」を参照してください。
リソースの追加: リソースを特定のポリシーに追加するには、そのリソースをアプリケーション・ドメイン内で定義する必要があります。
- 認証ポリシー・ページの「リソース」タブをクリックします。
- 「リソース」タブの「追加」ボタンをクリックします。
- 「Search」ボタンをクリックします。
- 「結果」表内のURLをクリックし、「選択済の追加」をクリックします。
- 必要に応じてこれらのステップを繰り返して、リソースを追加します。
「適用」をクリックして変更を保存し、確認ウィンドウを閉じます。
レスポンス: 「SSOのポリシー・レスポンスの追加および管理」の説明に従って、ポリシーのレスポンスを追加します。
終了する際はページを閉じます。

25.6.3 認証ポリシーの検索

有効な管理者の資格証明を持つユーザーは、特定の認証ポリシーを検索できます。

アプリケーション・ドメインの認証ポリシーを検索するには

「既存のアプリケーション・ドメインの検索」の説明に従って、目的のドメインを検索します。
「認可ポリシー」タブをクリックし、次の操作を実行します。
- 編集: 「認証ポリシーの表示または編集」を参照してください。
- 削除: 「認証ポリシーの削除」。
- 表の連結解除: 表を1ページ全面に展開するには、ツールバーの「連結解除」をクリックします。
- 「表示」メニュー: メニュー項目を選択して、結果表の外観を変更します。

25.6.4 認証ポリシーの表示または編集

有効な管理者の資格証明を持つユーザーは、アプリケーション・ドメインの認証ポリシーを変更できます。

これには、認証スキームの変更、リソースやレスポンスの追加または削除および成功または失敗URLの変更が含まれます。

関連項目:

「認証ポリシー・ページ」

認証ポリシーを表示または変更するには、次の手順を実行します。

「認証ポリシーの検索」の説明に従って、目的のポリシーを検索します。
目的のポリシー名をクリックして、その構成を表示します。
ポリシー要素を編集します(表25-9)。
リソース: 「リソース」タブをクリックし、次の操作を実行します。
- 追加: 「リソース」表の「追加」ボタン、リストのURL、「適用」の順にクリックします。
- 削除: 「リソース」表のURLをクリックして、表の「削除」ボタンをクリックします。
「適用」をクリックして変更を送信し、確認ウィンドウを閉じます(または変更を適用しないでページを閉じます)。
レスポンス: 「SSOのポリシー・レスポンスの追加および管理」の説明に従って、レスポンスを表示または編集します。
終了する際はページを閉じます。

25.6.5 認証ポリシーの削除

有効な管理者の資格証明を持つユーザーは、アプリケーション・ドメインから認証ポリシーを削除できます。

ポリシーを削除しても、すべてのリソース定義はアプリケーション・ドメイン内に残ります。ただし、ポリシーおよびすべてのレスポンスが削除されます。

ノート:

削除操作中、ポリシーの削除を確認するアラートが表示されます。操作を完了するには確認が必要です。

次の手順は、全体のポリシーの削除方法を示しています。ポリシーの要素を変更するには、「認証ポリシーの表示または編集」を参照してください。

関連項目:

「認証ポリシー・ページ」

認証ポリシーを削除するには、次の手順を実行します。

「認証ポリシーの検索」の説明に従って、目的のポリシーを検索します。
目的のポリシー名をクリックして、この構成を表示および確認します。
このポリシーで制御されたリソースが別のポリシーに追加されていることを確認します。
「SSOのポリシー・レスポンスの追加および管理」の説明に従って、すべてのレスポンスを削除します。
「認証ポリシー」タブで、ポリシーの横にある「シリアル番号」をクリックし、ツールバーの「削除」ボタンをクリックします。
確認ウィンドウで、確認して「削除」をクリックします(または「取消」をクリックしてウィンドウを閉じます)。