Access Gatewayポリシーの例
- 保護対象ポリシー
- 保護対象ルールポリシー
- 認証済みユーザーのアクセスを許可する
- IDP Everyoneグループの認証済みのユーザーのアクセスを許可する
- 未認証アクセスを許可する
- 特定のユーザーのアクセスを許可する
- 特定のグループのアクセスを許可する
- 特定グループおよびユーザーのアクセスを許可する(複数一致)
- 特定のグループまたはユーザーのアクセスを拒否する
- 特定のリモートIPのアクセスを許可/拒否する
- 特定のUSER_AGENTのアクセスを許可/拒否する
このドキュメントでは、さまざまなポリシーアクセスルールを構成する方法の例を提供します。これらのルールはポリシーアプリケーションエディターを使用して構成することができます。
保護対象ポリシー
フィールド | 値 |
---|---|
Enabled Policy(有効なポリシー) | ポリシーを有効または無効にします。 |
Policy Type(ポリシータイプ) |
Protected(保護対象)またはNot Protected(保護対象外)。 |
Name(名前) |
一意なポリシー名 |
Resource Path(リソースパス) |
このポリシーで管理したいリソースパス。 |
Description(説明) |
今後の参照用にポリシーの説明に役立つような管理者向けの説明。 |
保護対象ルールポリシー
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Name(名前) |
一意なポリシー名 |
Resource Path(リソースパス) |
このポリシーで管理したいリソースパス。 |
Resource Matching Rule(リソース一致ルール) |
このフィールドでポリシーの正規表現を定義できます。「保護対象ルールのリソース一致ルール式」を参照してください。 |
Description(説明) |
今後の参照用にポリシーの説明に役立つような管理者向けの説明。 |
認証済みユーザーのアクセスを許可する
すべての保護対象アプリケーションのデフォルトルールは、認証済みユーザーを許可するに設定されています。これを有効にすると、以下のポリシーは認証済みユーザーのルートURL(/)へのアクセスを許可します。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected(保護) |
Resource Path(リソースパス) |
/ |
IDP Everyoneグループの認証済みのユーザーのアクセスを許可する
アプリケーションで多くのポリシーが設定され、ディープリンクでデフォルト認証動作を使用する必要がある場合、ポリシーが[Everyone]グループを許可するよう設定します。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/custom |
Resource Matching Rule(リソース一致ルール) |
Groups=((?=(|.:)Everyone(R|:.*))) |
未認証アクセスを許可する
あるURLを、認証に関わらず誰でもアクセス可能にする必要がある場合、リソースルールを[Not Protected(保護対象外)]に設定します。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Not Protected(保護対象外) |
Resource Path(リソースパス) |
/public |
特定のユーザーのアクセスを許可する
あるURLを、特定ユーザーによってアクセス可能にする必要がある場合、一致ルールの正規表現をポリシーで許可されるユーザー名に設定します。以下の例は、ユーザーadmin@domain.comのURL /uri2へのアクセスを許可するよう設定されています。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri2 |
Resource Matching Rule(リソース一致ルール) |
UserName=admin@domain.com |
複数のユーザー名を区切るには、縦棒(|)キーを使用します。次の例では、admin@domain.comとtest@domain.comの両方のユーザーへのアクセスを許可します。
複数のユーザーを許可する必要がある場合、縦棒キー(|)を使用してユーザー名を区切ります。以下の例は、前の例を拡張してadmin@domain.comおよびtest@domain.comの両方に許可します。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri2 |
Resource Matching Rule(リソース一致ルール) |
UserName=admin@domain.com | test@domain.com |
特定のグループのアクセスを許可する
あるURIを、特定グループによってアクセス可能にする必要がある場合、一致ルールの正規表現をポリシーで許可されるグループ名に設定します。以下の例は、一致ルールのオプションをグループ:AdminsがURI /uri3にアクセスできるよう設定しています。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri3 |
Resource Matching Rule(リソース一致ルール) |
Groups=((?=(|.*:)Admins(\R|:.*))) |
複数のグループを許可する必要がある場合、縦棒キー(|)を使用してグループ名を区切ります。これはOR条件です。次の例では、グループ:管理者またはグループ:マネージャーを許可します。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri3 |
Resource Matching Rule(リソース一致ルール) |
Groups=((?=(|.*:)Admins(\R|:.*)))|((?=(|.*:)Managers(\R|:.*))) |
複数のグループが必要な場合は、AND条件を使用できます。次の例では、グループ:管理者かつグループ:マネージャーを許可します。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri3 |
Resource Matching Rule(リソース一致ルール) |
Groups=((?=(|.*:)Admins(\R|:.*)))((?=(|.*:)Managers(\R|:.*))) |
特定グループおよびユーザーのアクセスを許可する(複数一致)
あるURIを、特定グループとユーザーによってアクセス可能にする必要がある場合、一致ルールの正規表現をポリシーで許可されるグループ名に設定します。以下の例では、グループ:管理者かつユーザー:IamIT@domain.tldを許可するようリソース一致ルールを設定しています。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri3 |
Resource Matching Rule(リソース一致ルール) |
(?=.*Groups=((?=(|.*:)Admin(\R|:.*))))(?=.*UserName=ImaIT@domain\.tld) |
特定のグループまたはユーザーのアクセスを拒否する
特定のグループ以外のすべてのユーザーがアクセスできるURIがある場合は、一致ルールの正規表現をポリシーで許可されるグループ名に設定します。以下の例は、グループ:DeniedGroupを除くすべてのグループのユーザーを許可するよう、一致ルールのオプションを設定します。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri3 |
Resource Matching Rule(リソース一致ルール) |
Groups=((?!(|.*:)DeniedGroup(\R|:.*))) |
以下の例は、前の例を拡張して一致ルールのオプションを複数制約に設定します。グループ:管理者にユーザー名=denied@domain.tldが含まれる場合、URIへのアクセスを拒否されます。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri3 |
Resource Matching Rule(リソース一致ルール) |
(?=.*Groups=((?=(|.*:)Admins(\R|:.*))))(?=.*UserName=(?!denieduser@domain\.tld)) |
特定のリモートIPのアクセスを許可/拒否する
あるURIを、特定のリモートIPによってのみアクセス可能にしたい場合、一致ルールの正規表現をポリシーで許可されるリモートIPに設定します。以下の例は、リモートIPアドレス192.168.10.189のアクセスを許可するよう一致式のオプションを設定しています。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri4 |
Resource Matching Rule(リソース一致ルール) |
RemoteIP=(?=192\.168\.10\.189) |
以下の例は、前の例を拡張して特定範囲のリモートIPを許可するよう一致ルールのオプションを設定します。以下の例は、192.168.10.200から192.168.10.250の範囲のリモートIPアドレスのアクセスを許可するようResource Matching Rule(リソース一致ルール)を設定しています。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri4 |
Resource Matching Rule(リソース一致ルール) |
RemoteIP=(?=192\.168.10.2([0-4][0-9]|50)) |
あるURIを、特定のリモートIPによるアクセスのみ拒否したい場合、一致ルールの正規表現をポリシーで拒否されるリモートIPに設定します。以下の例は、リモートIPアドレス192.168.10.209のアクセスを拒否するようResource Matching Rule(リソース一致ルール)のオプションを設定しています。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri4 |
Resource Matching Rule(リソース一致ルール) |
RemoteIP=(?!192.168.10.209) |
以下の例は、前の例を拡張して特定範囲のリモートIPを拒否するよう一致ルールのオプションを設定します。以下の例は、192.168.10.100から192.168.10.200の範囲のリモートIPのアクセスを拒否するよう一致ルールのオプションを設定しています。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri4 |
Resource Matching Rule(リソース一致ルール) |
RemoteIP=(?!192\.168\.10\.(1([0-9][0-9])|200)) |
特定のUSER_AGENTのアクセスを許可/拒否する
あるURIを、特定のUSER_AGENT(ブラウザー)によってのみアクセス可能にしたい場合、一致ルールの正規表現をポリシーで許可されるUSER_AGENTに設定します。以下の例は、Google Chromeを使用するUSER_AGENTのみアクセスを許可するよう一致ルールのオプションを設定しています。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri5 |
Resource Matching Rule(リソース一致ルール) |
USER_AGENT=(?=.*Chrome) |
以下の例は前の例を拡張し、USER_AGENTのGoogle Chromeへのアクセスを拒否する代わりに別のエージェント(ブラウザー)を使用したアクセスを強制するよう、Resource Matching Rule(リソース一致ルール)のオプションを設定しています。
フィールド | 値 |
---|---|
Resource Rule(リソースルール) |
Protected Rule(保護対象ルール) |
Resource Path(リソースパス) |
/uri5 |
Resource Matching Rule(リソース一致ルール) |
USER_AGENT=(?!.*Chrome) |