保護対象ルールのリソース一致ルール式

保護対象ポリシールールには、エンドユーザーがルールに適合するかを判断するリソース一致ルールが必要です。リソース一致ルールは正規表現に基づいており、非常に複雑な式も可能です。

Access Gatewayでは共通する基本的な式が含まれたメニュー項目一式が用意されていて選択可能になっており、個別のニーズに合わせて編集ができるようになっています。

提供された式に基づいて保護対象ルールを編集する

保護対象ルールを編集するには:

  1. Access Gateway Admin UIコンソールに進みます。
  2. [Applications(アプリケーション)]タブを選択します。

  3. 既存ルールを含む、または新しい保護対象ルールを必要とするアプリケーションを選択し、[Edit(編集)]をクリックします。

  4. [Policies(ポリシー)]サブタブを選択します。
  5. 既存の[Protected Rule(保護対象ルール)]を選択して[Edit(編集)]をクリックします。
    または、新たに[Protected Rule(保護対象ルール)]を作成します。
    保護対象ルールの新規作成については、アプリケーションポリシーの管理をご覧ください。
  6. ポリシーメニューをクリックして の1つを選択し、[Use this(これを使用)]をクリックします。

  7. 必要に応じてポリシーを変更します。

事前定義ポリシー

以下のような事前に定義されたポリシーが用意されています:

ポリシー説明
Allow Group(グループを許可)エンドユーザーが指定の単一グループに属する場合、そのリソースへのアクセスを許可します。
例:Groups=(?=.*Everyone:)
Deny Group(アクセスを拒否)エンドユーザーが指定の単一グループに属する場合、そのリソースへのアクセスを拒否します。
例:Groups=(?!.*Everyone:)
Allow RemoteIP(リモートIPを許可)エンドユーザーのIPが所定の正規表現と一致する場合、所定のリソースへのアクセスを許可します。
例:RemoteIP=(?=192\..*)
Deny RemoteIP(リモートIPを拒否)エンドユーザーのIPが所定の正規表現と一致する場合、所定のリソースへのアクセスを拒否します。
例: RemoteIP=(?!192\..*)
Allow OR Groups(ORグループを許可)ユーザーがあるグループまたは別のグループに属する場合、リソースへのアクセスを許可します。
例:Groups=(?=.*Everyone:)|(?=.*Group2:)
Allow AND Groups(ANDグループを許可)ユーザーがあるグループと別のグループに属する場合、リソースへのアクセスを許可します。
例:Groups=(?=.*Everyone:)(?=.*Group2:)

Allow User(ユーザーを許可)

ユーザー名が一致する場合、リソースへのアクセスを許可します。
例:UserName=user@example.com

Deny User(ユーザーを拒否)

ユーザー名が一致する場合、リソースへのアクセスを拒否します。
例:UserName=(?!test@example.com)

Allow Group AND User(グループおよびユーザーを許可)

ユーザーがグループに属し、かつユーザー名が一致する場合、リソースへのアクセスを許可します。
例:(?=.*Groups=(?=.*Everyone:))(?=.*UserName=user1@domain.tld)

Allow Group AND Deny User(グループを許可およびユーザーを拒否)

ユーザーがグループに属し、かつユーザー名が一致しない場合、リソースへのアクセスを許可します。
例:(?=.*Groups=.*Everyone:)(?=.*UserName=(?!user3@domain.tld))

選択すると、特別なニーズを満たすように式を編集できます。

リソース一致式のフィールド

リソース一致式はアプリケーション属性に基づく正規表現です。事前定義ポリシーはGroups(グループ)UserName(ユーザー名)RemoteIP(リモートIP) などの属性を使用します。任意のアプリケーション属性をリソース一致式で使用できます。一般的な属性マッピングには以下が含まれます:

Data Source(データソース)Field(フィールド)Name(名前)
IDPグループグループ
IDPemail(Eメール)UserName(ユーザー名)

IDP

login(ログイン)

login(ログイン)

提供されるため、属性として定義は不要。 RemoteIP
USER_AGENT
メモ

メモ

リソース一致式で排他的に使用される属性は[Send Attribute(属性を送信する)]を無効にする必要があります。

関連項目

Access Gatewayポリシーの例

アプリケーションポリシーの管理