アクセスポリシー
Access Gatewayを使用して、アプリケーションごとに1つまたは複数のアクセスポリシーを構成します。ポリシーをアプリケーション内のURLリソースに適用することにより、それらを許可または拒否するように設定することができます。
- 認証されたユーザー(デフォルト)によるアプリケーションへのアクセス。
- アプリケーションに対する認証アクセスは(誰にも)ありません。
- アプリケーションにアクセスする特定のユーザー。
- アプリケーションにアクセスする特定のグループ。
- IDPユーザープロファイル属性に基づくアプリケーションへのアクセス。
- アプリケーションURLまたはディープリンクに基づく細かいアクセス
- 高度な構成に基づくカスタムアクセス。
ポリシーの構成
ポリシーは3つの要素で構成されています:
- リソース - ポリシーが適用されるアプリケーションの要素。
- セッションデータ - ポリシー決定を支援するときに使用されるアプリケーションデータ。
- ポリシールール - リソースとセッションデータを組み合わせ、アクセス権を決定するルールのセット。
リソース
ポリシーはリソースを保護することを目的としており、リソースは通常、アプリケーションURLとして定義されます。Access Gatewayリソースは、パターンを使用して動的または表現的なアプリケーションURLを照合したり、一致するセマンティクスを識別するためにさらに絞り込んだりすることができます。
Access Gatewayは、ロケーション一致方法を使用してリソース一致を提供します。以下のロジックを使用して実装されています。
location <URL matching pattern>{ #rule comment <policy rule>'REGEX'(Against Session Data); }「NGINXモジュールガイド」を参照してください。
セッションデータ
Access Gatewayは、ユーザーの認証後にサーバー側のセッションを生成します。このセッションは一時的なものであり、ユーザーのセッションの間だけ持続されます。セッションはキーと値のペアを保持します。これらのペアは通常、IDPレポジトリから生成されます。セッションデータは、許可ルールの構築時に(正規表現と)照合するために使用されます。
セッション例: 'UserName=test.user@domain.com RemoteIP=68.203.82.29 RelayDomain=app1.oagwdev.2.domain.com firstName=Test lastName=User department=123 Groups=Test Group:Test Admin Group:Test Authorizer Group:Everyone:'各ポリシーの結果は監査され、Access Gateway 管理者コンソールのモニタリングメニューで確認できます。
正規表現の詳細や、セッションデータに対するポリシー式のテスト/比較に関しては、正規表現式ツールを使用してください。
ポリシールール
Access Gatewayでは、保護対象ルールにPerl互換の正規表現(PCRE)が使用されます。
| ルール | 説明 |
|---|---|
| 保護対象 |
Access Gatewayでは、認証されたユーザーセッションが必要です。 |
| 保護対象外 |
Access Gatewayは、ユーザーセッションを強制しません。ヘッダーは保護対象外ポリシーのアプリケーションに渡されないことに注意してください。 |
| 保護対象ルール |
Access Gatewayでは、ユーザーセッションが必要です。セッションデータに対して正規表現の一致が行われます。正規表現が該当する式を確認した場合、Access Gatewayは場所へのアクセスを許可または拒否します。 |
| アダプティブルール |
動作は保護対象外と同様ですが、ヘッダーも提供されます。 |