Access Gatewayポリシーの例

アプリケーションポリシーの例

以下のセクションで、様々なポリシーアクセスルールの構成を説明します。所定のアクセスルールはPolicy Application Editorを通して構成可能です。

下の例で、以下に示すように入力フィールドを参照します:

保護対象ポリシー

フィールド
Enabled Policy(有効なポリシー) ポリシーを有効または無効にします。

Policy Type(ポリシータイプ)

Protected(保護対象)またはNot Protected(保護対象外)

Name(名前)

一意なポリシー名。

Resource Path(リソースパス)

このポリシーで管理したいリソースパス。

Description(説明)

今後の参照時のポリシーの説明に役立つ、管理者に便利な説明。

保護対象ルールポリシー

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Name(名前)

一意なポリシー名

Resource Path(リソースパス)

このポリシーで管理したいリソースパス。

Resource Matching Rule(リソース一致ルール)

このフィールドでポリシーの正規表現を定義できます。詳しくは保護対象ルールのリソース一致ルール式をご覧ください。

Description(説明)

今後の参照時のポリシーの説明に役立つ、管理者に便利な説明。

認証済みユーザーのアクセスを許可する

すべての保護対象アプリケーションのデフォルトルールは、認証済みユーザーを許可するように設定されています。これを有効にすると、以下のポリシーは認証済みユーザーのURL/へのアクセスを許可します。

フィールド

Resource Rule(リソースルール)

Protected(保護)

Resource Path(リソースパス)

/

IDP Everyoneグループの認証済みユーザーのアクセスを許可する

アプリケーションで多くのポリシーが設定され、ディープリンクでデフォルト認証動作を使用する必要がある場合、ポリシーが[Everyone]グループを許可するよう設定します。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/custom

Resource Matching Rule(リソース一致ルール)

Groups=(?=.*Everyone:)

未認証アクセスを許可する

あるURLを、認証に関わらず誰でもアクセス可能にする必要がある場合、リソースルールを[Not Protected(保護対象外)]に設定します。

フィールド

Resource Rule(リソースルール)

Not Protected(保護対象外)

Resource Path(リソースパス)

/public

特定のユーザーのアクセスを許可する

あるURLを特定ユーザーによってアクセス可能にする必要がある場合、一致ルールの正規表現をポリシーで許可されるユーザー名に設定します。以下の例は、ユーザーadmin@domain.comのURL /uri2へのアクセスを許可するよう設定されています。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri2

Resource Matching Rule(リソース一致ルール)

UserName=admin@domain.com

複数のユーザーを許可する必要がある場合、垂直バーキー(|)を使用してユーザー名を区切ります。以下の例は、前のルールを拡大してadmin@domain.comおよびtest@domain.comの両方に許可します。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri2

Resource Matching Rule(リソース一致ルール)

UserName=admin@domain.com | test@domain.com

特定のグループのアクセスを許可する

あるURIを、特定グループによってアクセス可能にする必要がある場合、一致ルールの正規表現をポリシーで許可されるグループ名に設定します。以下の例は、一致ルールのオプションをAdminsのグループがURI /uri3にアクセスできるよう設定しています。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri3

Resource Matching Rule(リソース一致ルール)

Groups=(?=.*Admins:)

複数のグループを許可する必要がある場合、垂直バーキー(|)を使用してグループ名を区切ります。これはOR条件です。以下の例では、グループ:Adminsまたはグループ:Test Usersを許可します。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri3

Resource Matching Rule(リソース一致ルール)

Groups=(?=.Admins:)|(?=.Test Users:)

複数のグループと特定のユーザーを必要とする場合。これはAND条件です。以下の例では、AdminグループおよびTest Usersグループを許可します。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri3

Resource Matching Rule(リソース一致ルール)

Groups=(?=.Admins:)(?=.Test Users:)

特定グループおよびユーザーのアクセスを許可する(複数一致)

あるURIを、特定グループとユーザーによってアクセス可能にする必要がある場合、一致ルールの正規表現をポリシーで許可するグループ名に設定します。以下の例は、Adminグループかつユーザーのtest@domain.comを許可するよう一致ルールのオプションを設定しています。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri3

Resource Matching Rule(リソース一致ルール)

Groups=(?=.Admins:)(?=.test@domain.com)

特定のグループまたはユーザーのアクセスを拒否する

あるURIを、特定グループを除く全員に対してアクセス可能にする必要がある場合、一致ルールの正規表現をポリシーで許可するグループ名に設定します。以下の例は、Group3グループを除くすべてのグループのユーザーを許可するよう、一致ルールのオプションを設定します。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri3

Resource Matching Rule(リソース一致ルール)

Groups=(?!Group3:)

以下の例は、前の例を拡大して一致ルールのオプションを複数制約に設定します。Group3グループにユーザー名のtest@domain.comが含まれる場合、URIへのアクセスを拒否します。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri3

Resource Matching Rule(リソース一致ルール)

(?=.Groups=.Group3:)(?=.*UserName=(?!test@domain.com))

特定のリモートIPのアクセスを許可/拒否する

あるURIを、特定のリモートIPによってのみアクセス可能にしたい場合、一致ルールの正規表現をポリシーで許可されるリモートIPに設定します。以下の例は、リモートIPアドレス192.168.10.189のアクセスを許可するよう一致式のオプションを設定しています。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri4

Resource Matching Rule(リソース一致ルール)

RemoteIP=(?=192\.168\.10\.189)

以下の例は、前の例を拡大して特定範囲のリモートIPを許可するよう一致ルールのオプションを設定します。以下の例は、192.168.10.200から192.168.10.250の範囲のリモートIPアドレスのアクセスを許可するよう一致ルールのオプションを設定しています。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri4

Resource Matching Rule(リソース一致ルール)

RemoteIP=(?=192.168.10.2([0-4][0-9]|50)

あるURIを、特定のリモートIPによるアクセスのみ拒否したい場合、一致ルールの正規表現をポリシーで拒否されるリモートIPに設定します。以下の例は、リモートIPアドレス192.168.10.209のアクセスを拒否するよう一致式のオプションを設定しています。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri4

Resource Matching Rule(リソース一致ルール)

RemoteIP=(?!192.168.10.209)

以下の例は、前の例を拡大して特定範囲のリモートIPを拒否するよう一致ルールのオプションを設定します。以下の例は、192.168.10.100から192.168.10.200の範囲のリモートIPのアクセスを拒否するよう一致ルールのオプションを設定しています。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri4

Resource Matching Rule(リソース一致ルール)

RemoteIP=(?!192.168.10.(1([0-9][0-9])|200)

特定のUSER_AGENTのアクセスを許可/拒否する

あるURIを、特定のUSER_AGENT(ブラウザー)によってのみアクセス可能にしたい場合、一致ルールの正規表現をポリシーで許可されるUSER_AGENTに設定します。以下の例は、Google Chromeを使用するUSER_AGENTのみアクセスを許可するよう一致ルールのオプションを設定しています。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri5

Resource Matching Rule(リソース一致ルール)

USER_AGENT=(?=.*Chrome)

以下の例は前の例を拡大し、USER_AGENTのGoogle Chromeへのアクセスを拒否する代わりに別のエージェント(ブラウザー)を使用したアクセスを強制するよう、一致ルールのオプションを設定しています。

フィールド

Resource Rule(リソースルール)

Protected Rule(保護対象ルール)

Resource Path(リソースパス)

/uri5

Resource Matching Rule(リソース一致ルール)

USER_AGENT=(?!.*Chrome)