Access Gatewayポリシーの例
このトピックでは、さまざまなポリシーアクセスルールを構成する方法の例を提供します。これらのルールは、ポリシーアプリケーションエディターを使用して構成できます。
- 保護対象ポリシー
- 保護対象ルールポリシー
- 認証済みのユーザーのアクセスを許可する
- IdP Everyoneグループの認証済みのユーザーのアクセスを許可する
- 認証なしでアクセスを許可する
- 特定のユーザーにアクセスを許可する
- 特定のグループにアクセスを許可する
- 複数一致がある特定のグループとユーザーにアクセスを許可する
- 特定のグループのアクセスを拒否する
- 特定のリモートIPアドレスへのアクセスを許可または拒否する
- 特定のUSER_AGENTへのアクセスを許可または拒否する
保護対象ポリシー
| フィールド | 値 |
|---|---|
| [Enabled Policy(有効なポリシー)] | ポリシーを有効化または無効化します。 |
| [Policy Type (ポリシータイプ)] | [Protected(保護)]または[Not Protected(非保護)]から選択します。 |
| [Name(名前)] | 一意なポリシー名 |
| [Resource Path(リソースパス)] | このポリシーで管理するリソースへのパス。 |
| [Description(説明)] | 管理者に役立つ説明。 |
保護対象ルールポリシー
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Name(名前) | 一意なポリシー名 |
| [Resource Path(リソースパス)] | このポリシーで管理するリソースへのパス。 |
| Resource Matching Rule(ルールに一致するリソース) | このフィールドでポリシーの正規表現を定義できます。例については、「保護対象ルールのリソース一致ルール式」をご覧ください。 |
| Description(説明) | 管理者に役立つ説明。 |
認証済みの全ユーザーにアクセスを許可する
このポリシーは、認証済みのユーザー全員にルートURL(/)へのアクセスを許可します。これはデフォルトルールです。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| リソースパス | / |
IdP Everyoneグループの認証済みの全ユーザーへのアクセスを許可する
多くのアプリがディープリンクでデフォルト認証動作を使用する必要がある場合、ポリシーが[Everyone]グループを許可するよう設定します。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /custom |
| Resource Matching Rule(リソース一致ルール) | Groups=((?=(|.:)Everyone(R|:.*))) |
認証なしでアクセスを許可する
認証なしで全員がアクセスする必要があるURLについては、[Resource Rule(リソースルール)]を[Not Protected(非保護)]に設定します。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Not Protected(保護対象外) |
| Resource Path(リソースパス) | /public |
特定のユーザーにアクセスを許可する
1人のユーザーにアクセスを許可する
特定のユーザーがURLへのアクセスを必要とする場合は、[Resource Matching Rule(リソース一致ルール)]の[Regex(正規表現)]をユーザー名に設定します。この例では、ユーザー「admin@domain.com」が、URL /uri2にアクセスできるようにします。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri2 |
| Resource Matching Rule(リソース一致ルール) | UserName=admin@domain.com |
複数のユーザーへのすべてのアクセス
縦棒キー(|)を使用して、ユーザー名を区切ります。この例では、admin@domain.comとtest@domain.comがURLにアクセスできるようにします。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri2 |
| Resource Matching Rule(リソース一致ルール) | UserName=admin@domain.com | test@domain.com |
特定のグループにアクセスを許可する
1つのグループにアクセスを許可する
特定のグループがURIへのアクセスを必要とする場合は、[Resource Matching Rule(リソース一致ルール)]の[Regex(正規表現)]をグループ名に設定します。この例では、管理者グループがURI /uri3にアクセスできるようにします。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri3 |
| Resource Matching Rule(リソース一致ルール) | Groups=((?=(|.*:)Admins(\R|:.*))) |
いずれかのグループへのアクセスを許可する
縦棒キー(|)を使用して、グループ名を区切ります。これはOR条件です。この例では、管理者グループまたはマネージャーグループがURIにアクセスできるようにします。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri3 |
| Resource Matching Rule(リソース一致ルール) | Groups=((?=(|.*:)Admins(\R|:.*)))|((?=(|.*:)Managers(\R|:.*))) |
複数のグループへのアクセスを許可する
AND条件を使用します。この例では、管理者グループおよびマネージャーグループがURIにアクセスできるようにします。グループ名を区切る縦棒キー(|)がないことにご注意ください。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri3 |
| Resource Matching Rule(リソース一致ルール) | Groups=((?=(|.*:)Admins(\R|:.*)))((?=(|.*:)Managers(\R|:.*))) |
複数一致がある特定グループおよびユーザーのアクセスを許可する
特定のグループおよびユーザーがURIへのアクセスを必要とする場合は、[Resource Matching Rule(リソース一致ルール)]の[Regex(正規表現)]をグループ名とユーザー名に設定します。この例では、管理者グループとIamIT@domain.tldユーザーがURIにアクセスできるようにします。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri3 |
| Resource Matching Rule(リソース一致ルール) | (?=.*Groups=((?=(|.*:)Admin(\R|:.*))))(?=.*UserName=ImaIT@domain\.tld) |
特定のグループのアクセスを拒否する
特定のグループ以外の全ユーザーがURIにアクセスできるようにする場合は、[Resource Matching Rule(リソース一致ルール)]の[Regex(正規表現)]をグループ名に設定します。この例では、DeniedGroupグループ以外の任意のグループのユーザーがアクセスできるようにします。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri3 |
| Resource Matching Rule(リソース一致ルール) | Groups=((?!(|.*:)DeniedGroup(\R|:.*))) |
この例では、[Resource Matching Rule(リソース一致ルール)]オプションを複数の制約に設定します。管理者グループにUserName=denied@domain.tldのユーザーが含まれている場合、そのユーザーはURIにアクセスできません。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri3 |
| Resource Matching Rule(リソース一致ルール) | (?=.*Groups=((?=(|.*:)Admins(\R|:.*))))(?=.*UserName=(?!denieduser@domain\.tld)) |
特定のリモートIPアドレスへのアクセスを許可または拒否する
1つのリモートIPアドレスへのアクセスを許可する
[Resource Matching Rule(リソース一致ルール)]の[Regex(正規表現)]をリモートIPアドレスに設定します。この例では、リモートIPアドレス192.168.10.189でURIにアクセスできます。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri4 |
| Resource Matching Rule(リソース一致ルール) | RemoteIP=(?=192\.168\.10\.189) |
特定範囲のリモートIPアドレスへのアクセスを許可する
[Resource Matching Rule(リソース一致ルール)]の[Regex(正規表現)]を特定範囲のリモートIPアドレスに設定します。この例では、192.168.10.200~192.168.10.250の範囲内のリモートIPアドレスがURIにアクセスできるようにします。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri4 |
| Resource Matching Rule(リソース一致ルール) | RemoteIP=(?=192\.168.10.2([0-4][0-9]|50)) |
1つのリモートIPアドレスへのアクセスを拒否する
[Resource Matching Rule(リソース一致ルール)]の[Regex(正規表現)]をリモートIPアドレスに設定します。この例では、リモートIPアドレス192.168.10.209に対するURIへのアクセスを拒否します。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri4 |
| Resource Matching Rule(リソース一致ルール) | RemoteIP=(?!192.168.10.209) |
特定範囲のリモートIPアドレスへのアクセスを拒否する
[Resource Matching Rule(リソース一致ルール)]の[Regex(正規表現)]を特定範囲のリモートIPアドレスに設定します。この例では、192.168.10.100~192.168.10.200の範囲にあるリモートIPアドレスに対してURIへのアクセスを拒否します。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri4 |
| Resource Matching Rule(リソース一致ルール) | RemoteIP=(?!192\.168\.10\.(1([0-9][0-9])|200)) |
特定のUSER_AGENTへのアクセスを許可または拒否する
ユーザーが特定のリソースにアクセスする際に使用できるブラウザーを、許可設定と拒否設定を組み合わせて制御することができます。
特定のUSER_AGENTへのアクセスを許可する
URIへのアクセスを特定のUSER_AGENT(ブラウザー)に制限するには、[Resource Matching Rule(リソース一致ルール)]の[Regex(正規表現)]をUSER_AGENTに設定します。この例では、USER_AGENTがGoogle Chromeを使用してのみURIにアクセスできるようにします。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri5 |
| Resource Matching Rule(リソース一致ルール) | USER_AGENT=(?=.*Chrome) |
特定のUSER_AGENTへのアクセスを拒否する
特定のブラウザーを使用してURIにアクセスするユーザーを拒否するには、[Resource Matching Rule(リソース一致ルール)]の[Regex(正規表現)]をUSER_AGENTに設定します。この例では、Google Chromeを使用してユーザーがURIにアクセスすることをブロックしているため、別のブラウザーを使用しなければなりません。
| フィールド | 値 |
|---|---|
| Resource Rule(リソースルール) | Protected Rule(保護対象ルール) |
| Resource Path(リソースパス) | /uri5 |
| Resource Matching Rule(リソース一致ルール) | USER_AGENT=(?!.*Chrome) |