SSO認可ポリシーの構成

エンタープライズ・アプリケーションのリソースごとに認可ポリシーを作成し、ユーザーにリソースへのアクセスを許可または拒否する条件を定義します。

ノート

認可ポリシーは、認証ポリシーの「フォームまたはアクセス・トークン」認証メソッドで保護するリソースに対してのみ機能します。リソースが他の認証メソッドで保護されている場合、ユーザーがWebブラウザを使用してリソースにアクセスしようとしたときに、アプリケーション・ゲートウェイは認可チェックを実行しません。

認可ポリシーは、ユーザーにアプリケーション・リソースへのアクセスを許可または拒否する場合の条件を定義します。アプリケーション・ゲートウェイは、リソース・エンドポイントに対するHTTPリクエストをインターセプトすると、IAMのエンタープライズ・アプリケーションにリソースの認可ポリシーが含まれているかどうかを検証します。その場合、アプリケーション・ゲートウェイは、HTTPリクエストがアクセスを許可または拒否するように構成されたルールのいずれかと一致するかどうかを検証します。

たとえば、Employeesグループのすべてのメンバーに/myapp/private/homeリソースへのアクセスを許可する許可ルールを構成し、My External SAML IDPアイデンティティ・プロバイダによって認証されたユーザーにこのリソースへのアクセスを拒否する拒否ルールを構成できます。

  1. 「ドメイン」リスト・ページで、変更するドメインを選択します。ドメインのリスト・ページの検索に関するヘルプが必要な場合は、アイデンティティ・ドメインのリストを参照してください。
  2. 詳細ページで、「統合アプリケーション」を選択します。ドメイン内のアプリケーションのリストが表示されます。
  3. 変更するエンタープライズ・アプリケーションを選択します。
  4. 「アプリケーション詳細」ページで、「SSO構成」を選択し、「SSO構成の編集」を選択します。
  5. 「認可ポリシー」セクションで、「存続時間(分)」を選択して、実行された認可ポリシー評価をアプリケーション・ゲートウェイがキャッシュする期間を定義します。
    これらのポリシー評価をキャッシュすることで、アプリケーション・ゲートウェイは、同じリソースに対してユーザーが行った後続のHTTPリクエストでIAMと通信する必要がなくなります。
  6. 「許可ルール」セクションで、「許可ルールの追加」を選択し、ルール名を指定して、次のフィールドに入力します。
    「許可ルールの追加」のオプション

    条件

    説明

    含めるリソース

    エンタープライズ・アプリケーションで構成されているリソースのいずれかを選択します。

    HTTPメソッド

    このルールに関連付けるHTTPメソッドを選択します。ルールは、選択したHTTPメソッドに対してのみ有効です。

    認証アイデンティティ・プロバイダ(オプション)

    (オプション) IAMのアクティブなアイデンティティ・プロバイダから選択します。これを空のままにすると、その他の条件が認証に使用されます。ユーザーがこれらのアイデンティティ・プロバイダのいずれかを使用してサインインすると、リソースへのアプリケーション・ゲートウェイ・アクセスになります。ローカルIDPは、IAMによって認証されたユーザーを示します。

    グループ・メンバーシップ

    IAMのグループを選択します。サインインしたユーザーが、選択したグループのいずれかのメンバーである場合、アプリケーション・ゲートウェイによってリソースへのアクセスが許可されます。

    ユーザーを除外

    IAMユーザーを選択します。ログインしたユーザーが選択したユーザーの1人ではない場合、アプリケーション・ゲートウェイによってリソースへのアクセスが許可されます。

    クライアントIPアドレスでフィルタ

    HTTPリクエストの作成元のIPアドレス範囲を選択します。

    • 任意の場所: アプリケーション・ゲートウェイは、HTTPリクエストの作成元のIPアドレスを検証しません。
    • 次のネットワーク・ペリメータに制限します: このオプションを選択し、このルールに関連付けるネットワーク・ペリメータを選択します。HTTPリクエストの作成元のIPアドレスがネットワーク・ペリメータのいずれかで指定されている場合、アクセス・ゲートウェイによってリソースへのアクセスが許可されます。

    アクセス期間の制限

    時刻(「開始」および「終了」)を選択し、曜日を選択して、ルールが有効になるタイム・ゾーンを選択します。

    構成された期間内にHTTPリクエストが行われた場合にのみ、アプリケーション・ゲートウェイによってリソースへのアクセスが許可されます。

    アプリケーション・ゲートウェイがルールに対して構成されたアクションを実行できるようにするには、許可ルールに対して構成されたすべての条件が満たされている必要があります。
  7. 「許可ルールの追加」ウィンドウの「アクション」セクションで、+Another「ヘッダー」を選択し、HTTPヘッダーの名前を入力してから、値としてユーザー属性を選択します。このルールで構成するすべてのヘッダーに対してこのステップを繰り返します。
    ユーザーがリソースへのアクセスを許可される場合、アプリケーション・ゲートウェイは、リクエストをアプリケーションに転送する前に、これらのヘッダー変数と対応する値をHTTPリクエストに追加します。
  8. 「許可ルールの追加」を選択して、許可ルールを追加します。
  9. 「拒否ルール」セクションで、「拒否ルールの追加」を選択し、ルール名を選択して、次のフィールドに入力します。
    「拒否ルールの追加」のオプション

    条件

    説明

    含めるリソース

    エンタープライズ・アプリケーションで構成されているリソースのいずれかを選択します。

    HTTPメソッド

    このルールに関連付けるHTTPメソッドを選択します。

    アイデンティティ・プロバイダの認証中

    IAMでアクティブなアイデンティティ・プロバイダを選択します。ユーザーがこれらのアイデンティティ・プロバイダのいずれかを使用してサインインすると、アプリケーション・ゲートウェイによってリソースへのアクセスが拒否されます。ローカルIDPは、IAMによって認証されたユーザーを示します。

    グループ・メンバーシップ

    IAMグループを選択します。サインインしたユーザーが、選択したグループのいずれかのメンバーである場合、アプリケーション・ゲートウェイによってリソースへのアクセスが拒否されます。

    ユーザーを除外

    IAMユーザーを選択します。ログインしたユーザーが選択したユーザーの1人ではない場合、アプリケーション・ゲートウェイによってリソースへのアクセスが拒否されます。

    クライアントIPアドレスでフィルタ

    HTTPリクエストの作成元のIPアドレス範囲を選択します。

    • 任意の場所: アプリケーション・ゲートウェイは、HTTPリクエストの作成元のIPアドレスを検証しません。
    • 次のネットワーク・ペリメータに制限します: このオプションを選択し、このルールに関連付けるネットワーク・ペリメータを選択します。HTTPリクエストの作成元のIPアドレスがネットワーク・ペリメータのいずれかとして指定されている場合、アクセス・ゲートウェイによってリソースへのアクセスが拒否されます。

    アクセス期間の制限

    時刻(「開始」および「終了」)を選択し、曜日を選択して、ルールが有効になるタイム・ゾーンを選択します。

    構成された期間内にHTTPリクエストが行われた場合、アプリケーション・ゲートウェイによってリソースへのアクセスが拒否されます。

    アプリケーション・ゲートウェイがルールに対して構成されたアクションを実行できるようにするには、拒否ルールに対して構成されたすべての条件が満たされている必要があります。
  10. 「拒否ルールの追加」ウィンドウの「アクション」セクションで、拒否ルール条件がリソースのHTTPリクエストと一致した場合にアプリケーション・ゲートウェイが実行する必要があるアクションを選択します。
    • ユーザーをサインアウト: IAMからユーザーをログアウトします。
  11. [却下ルールの追加]を選択して、却下ルールを追加します。
  12. 「Save changes」を選択します。