Oracle® Fusion Middleware Oracle Mobile Security Access Serverの管理 11gリリース2 (11.1.2.3) E64863-01 |
|
前 |
次 |
この章では、MSASのプロキシ・オート構成(PAC)ファイルの概要を示すとともに、ブロックされたURL、ダイレクトURLおよびプロキシURL Web設定を、モバイル・セキュリティ・アクセス・サーバーで構成する方法について説明します。これらのPACファイルで定義されたWeb設定は、セキュア・ワークスペース・アプリケーションおよびコンテナ化済アプリケーションに、どのURLをMSASを介してプロキシし、どのURLにはMSASを介さずに直接アクセスし、どのURLを完全にブロックするかを指示します。
次の項が含まれます:
大量のURLを扱うために、プロキシ自動構成(PAC)ファイルの概念が定義されています。PACファイルは、クライアント(ブラウザ、ユーザー・エージェント、モバイル・デバイスなど)のURLへのアクセス方法が自動的に構成されるようにします。モバイル・セキュリティ・アクセス・サーバー(MSAS)は、「モバイル・セキュリティ・アクセス・サーバー・スタート・ガイド」の説明および本書全体で説明されているように、プロキシまたはリバース・プロキシとして機能できます。PACファイルは、MSASインスタンスのURLがどのように構成されているかに基づいて、自動的に生成されます。
PACファイルは、URLがMSASを介してどのようにプロキシ設定されるか(プロキシ設定対象、直接、ブロック対象)を決定するJava Scriptの関数FindProxyForURL(
url,host
)を含んでいます。
各MSASインスタンスは、次のURLでアクセスできる2つのPACファイルを生成します。
https://
msas-host
:
msas-ssl-port
/bmax/stunnel.pac
http://
msas-host
:
msas-port
/bmax/bmax.pac
ここで、msas-host
:
msas-ssl-port
はMSASインスタンスのホストとSSLポートを表し、msas-host
:
msas-port
はMSASインスタンスのホストと非SSLポートを表します。セキュア・ワークスペース・アプリケーションは、登録時に、これらのファイルを使用して自動的に構成され、そこで定義されたルールを強制適用します。
これら2つのPACファイルの唯一の相違点は、転送プロキシ・コールのために使用するポートです。stunnel.pac
ファイルはHTTPSポートを使用し、セキュア・ワークスペースとコンテナ化済アプリケーションによって、転送プロキシ・コール用に使用されます。bmax.pac
ファイルはHTTPポートを使用し、転送プロキシ・コールでは、Safariなどのブラウザによって使用されます。
stunnel.pac
およびbmax.pac
ファイルは、Web設定に対して行った変更をすべて反映するために、定期的にリフレッシュされます。デフォルトでは、リフレッシュ間隔は24時間です。cache.refresh.repeat
プロパティを使用して間隔を構成することも、「MSASインスタンス構成の同期」の説明に従って、同期機能を使用して強制的に即時リフレッシュすることもできます。cache.refresh.repeat
プロパティの構成の詳細は、次を参照してください。
MSASインスタンスの作成時に、DIRECTおよびBLOCKアプリケーションがデフォルトで作成されます。これらのアプリケーションを編集して、ダイレクトおよびブロックされたURLを構成します。これらのアプリケーションは予約されており、削除できません。
デフォルトURLプロキシ・アプリケーションも作成されます。このアプリケーションは利便性のために用意されているもので、デフォルトで、すべての転送プロキシ・リクエストを保護するために使用されます。プロキシ・アプリケーション内で明示的に定義されていない環境のすべてのURLに適用されるワイルドカード・パス(/)が含まれます。デフォルトURLを使用すると、プロキシURLを使用するシステムですべてのURLを定義する必要がありません。アプリケーションで定義されたURLを編集したり、プロキシURLを追加または削除したりできます。このアプリケーションは、名前を編集したり、削除したりできます。
モバイル・セキュリティ・アクセス・サーバーを介して直接プロキシされるバックエンドURLを指定するプロキシ・アプリケーションを、MSASに作成できます。プロキシ・アプリケーションの範囲内で定義された任意のURLは、「proxy」アクセス・タイプに自動的に分類されます。プロキシ・アプリケーションは、更新または削除できます。
表4-1は、MSASアプリケーションと、それに対応する、生成されたPACファイルの間のマッピングを説明しています。
表4-1 MSASアプリケーションとプロキシ自動構成ファイルの間のマッピング
アプリケーション・タイプ | PACファイル・マッピング |
---|---|
MSASプロキシ・アプリケーション |
MSASプロキシ・アプリケーション内のすべてのURLは、PACのプロキシURLとして処理されます。これはクライアントに、このセクションのすべての適合するURLがMSASを介してプロキシ設定されることを指示します。 |
MSAS DIRECTアプリケーション |
この予約済アプリケーション内のすべてのURLは、PACのダイレクトURLにマッピングされます。これはクライアントに、このセクションのすべての適合するURLに、MSASを介することなく直接アクセスするように指示します。 |
MSAS BLOCKアプリケーション |
この予約済アプリケーション内のすべてのURLは、PACのブロックURLにマッピングされます。これはクライアントに、このセクションのすべての適合するURLがアクセスから完全にブロックされることを指示します。 |
MSASは、URL上で次のように文字列照合を実行します。
各URLにはスキームを含む必要があり、ホスト、パスまたは問合せ文字列、またはそれらの構成要素の一部をオプションで含むことができます。次のように、特定のURLパターンにワイルドカード「*」
を使用できます。
HTTPおよびHTTPSリクエストには、http://*
およびhttps://*
を使用します。
特定のドメインにヒットするすべてのリクエストであれば、たとえば*.example.com
です。
HTTPS経由でのみ特定のドメインにヒットするすべてのリクエストであれば、たとえばhttps://*.example.com
です。
パスの一部のみを指定。たとえば、BLOCKアプリケーションでhttps://www.example.com/somedir/*
を構成すると、somedir
配下のすべてのサブパスへのアクセスをブロックします。プロキシ・アプリケーションでhttps://www.example.com/somedir/stock/*
を構成すると、somedir/stock
配下のすべてのサブパスへのアクセスが許可されます。
すべてのURLは、称号の前に、小文字に変換されます。
デフォルトで、リクエストされたURLがアクセス・リストのいかなるエントリにも適合せず、デフォルトのプロキシURLが定義されていない場合、リクエストされたURLはダイレクト・タイプとして送信されます。
ブロックされたURLを構成するには、MSASインスタンスに対応する、予約されたBLOCKアプリケーションに追加します。これを行うには、次のようにします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アプリケーション」を選択します。
インスタンスに対応するBLOCKアプリケーションを見つけるには、「検索」機能を使用します。次のどちらの方法も機能します。
「タイプ」メニューから、「ブロックされたURL」を選択します。環境内の、最初の5つのBLOCKアプリケーションのリストが、「ソート基準」フィールドの表示に従ってソートされて表示されます。追加のアプリケーションを表示するには、「追加アイテムのロード」をクリックします。
「検索」メニューから、「MSASインスタンス名」を選択し、インスタンス名のすべてまたは一部を「検索」でフィールドに入力して、検索アイコンをクリックします。%
は、検索フィールドのワイルドカードとして受け付けられます。目的のMSASインスタンスのBLOCKアプリケーションが表示されない場合、「タイプ」メニューから「ブロックされたURL」を選択します。
ブロック・アイコンまたはBLOCKアプリケーション名をクリックして、「ブロックされたURL」ページを開きます。
+URLをクリックして、「ブロックされたURLの追加」ページを開きます。アプリケーションにURLが現在定義されていない場合、「URLの作成」をクリックすることもできます。
「ブロックされたURLの追加」ページで、「追加」をクリックします。
「ホストURL」および「名前」フィールド、およびオプションで、「説明」フィールドに記入します。
引き続き「追加」をクリックし、ブロックするすべてのURLのフィールドに記入します。
「保存」をクリックします。
ダイレクトURLを構成するには、MSASインスタンスに対応する、予約されたDIRECTアプリケーションに追加します。これを行うには、次のようにします。
モバイル・セキュリティ起動パッドから、「モバイル・セキュリティ・アクセス・サーバー」セクションの「アプリケーション」を選択します。
インスタンスに対応するDIRECTアプリケーションを見つけるには、「検索」機能を使用します。次のどちらの方法も機能します。
「タイプ」メニューから、「ダイレクトURL」を選択します。環境内の、最初の5つのDIRECTアプリケーションのリストが、「ソート基準」フィールドの表示に従ってソートされて表示されます。追加のアプリケーションを表示するには、「追加アイテムのロード」をクリックします。
「検索」メニューから、「MSASインスタンス名」を選択し、インスタンス名のすべてまたは一部を「検索」でフィールドに入力して、検索アイコンをクリックします。%
は、検索フィールドのワイルドカードとして受け付けられます。目的のMSASインスタンスのDIRECTアプリケーションが表示されない場合、「タイプ」メニューから「ダイレクトURL」を選択します。
ダイレクト・アイコンまたはダイレクト・アプリケーション名をクリックして、「ダイレクトURL」ページを開きます。
+URLをクリックして、「ダイレクトURLの追加」ページを開きます。アプリケーションにURLが現在定義されていない場合、「URLの作成」をクリックすることもできます。
「ダイレクトURLの追加」ページで、「追加」をクリックします。
「ホストURL」および「名前」フィールド、およびオプションで、「説明」フィールドに記入します。
引き続き「追加」をクリックし、ダイレクト・アクセス権を付与するすべてのURLのフィールドに記入します。
「保存」をクリックします。