エンタープライズ・アプリケーションのリソースごとに認可ポリシーを作成し、ユーザーにリソースへのアクセスを許可または拒否する条件を定義します。
ノート
認可ポリシーは、認証ポリシーの「フォームまたはアクセス・トークン」認証メソッドで保護するリソースに対してのみ機能します。リソースが他の認証メソッドで保護されている場合、ユーザーがWebブラウザを使用してリソースにアクセスしようとしたときに、アプリケーション・ゲートウェイは認可チェックを実行しません。
認可ポリシーは、ユーザーにアプリケーション・リソースへのアクセスを許可または拒否する場合の条件を定義します。アプリケーション・ゲートウェイは、リソース・エンドポイントに対するHTTPリクエストをインターセプトすると、IAMのエンタープライズ・アプリケーションにリソースの認可ポリシーが含まれているかどうかを検証します。その場合、アプリケーション・ゲートウェイは、HTTPリクエストがアクセスを許可または拒否するように構成されたルールのいずれかと一致するかどうかを検証します。
たとえば、Employeesグループのすべてのメンバーに/myapp/private/home
リソースへのアクセスを許可する許可ルールを構成し、My External SAML IDPアイデンティティ・プロバイダによって認証されたユーザーにこのリソースへのアクセスを拒否する拒否ルールを構成できます。
-
「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
-
詳細ページで、「統合アプリケーション」を選択します。ドメイン内のアプリケーションのリストが表示されます。
-
変更するエンタープライズ・アプリケーションを選択します。
-
「アプリケーション詳細」ページで、「SSO構成」を選択し、「SSO構成の編集」を選択します。
-
「認可ポリシー」セクションで、「存続時間(分)」を選択して、実行された認可ポリシー評価をアプリケーション・ゲートウェイがキャッシュする期間を定義します。
これらのポリシー評価をキャッシュすることで、アプリケーション・ゲートウェイは、同じリソースに対してユーザーが行った後続のHTTPリクエストでIAMと通信する必要がなくなります。
-
「許可ルール」セクションで、「許可ルールの追加」を選択し、ルール名を指定して、次のフィールドに入力します。
アプリケーション・ゲートウェイがルールに対して構成されたアクションを実行できるようにするには、許可ルールに対して構成されたすべての条件が満たされている必要があります。
-
「許可ルールの追加」ウィンドウの「アクション」セクションで、+Another「ヘッダー」を選択し、HTTPヘッダーの名前を入力してから、値としてユーザー属性を選択します。このルールで構成するすべてのヘッダーに対してこのステップを繰り返します。
ユーザーがリソースへのアクセスを許可される場合、アプリケーション・ゲートウェイは、リクエストをアプリケーションに転送する前に、これらのヘッダー変数と対応する値をHTTPリクエストに追加します。
-
「許可ルールの追加」を選択して、許可ルールを追加します。
-
「拒否ルール」セクションで、「拒否ルールの追加」を選択し、ルール名を選択して、次のフィールドに入力します。
アプリケーション・ゲートウェイがルールに対して構成されたアクションを実行できるようにするには、拒否ルールに対して構成されたすべての条件が満たされている必要があります。
-
「拒否ルールの追加」ウィンドウの「アクション」セクションで、拒否ルール条件がリソースのHTTPリクエストと一致した場合にアプリケーション・ゲートウェイが実行する必要があるアクションを選択します。
-
[却下ルールの追加]を選択して、却下ルールを追加します。
-
「Save changes」を選択します。