アクセスポリシー
ポリシーを使用することで、アプリURLへのアクセスを制御できます。個々のユーザーまたはグループへのアクセスを許可または拒否し、高度な構成にカスタムアクセスを構成できます。
アプリポリシーは、アプリの基本情報タブに指定された元のグループを継承します。Access Gatewayは、アプリのURIにアクセスポリシーを適用する前にこのグループ設定をチェックし、それに応じてアプリへのアクセスを許可/拒否します。「アプリケーションの基本情報」を参照してください。
ポリシーの構成
ポリシーは3つの要素で構成されています:
- リソース - ポリシーが適用されるアプリケーションの要素。
- セッションデータ - ポリシー決定を支援するときに使用されるアプリケーションデータ。
- ポリシールール - リソースとセッションデータを組み合わせ、アクセス権を決定するルールのセット。
リソース
ポリシーはリソースを保護することを目的としており、リソースは通常、アプリケーションURLとして定義されます。Access Gatewayリソースは、パターンを使用して動的または表現的なアプリケーションURLを照合したり、一致するセマンティクスを識別するためにさらに絞り込んだりすることができます。
Access Gatewayは、ロケーション一致方法を使用してリソース一致を提供します。以下のロジックを使用して実装されています。
location <URL matching pattern>{ #rule comment <policy rule>'REGEX'(Against Session Data); }「NGINXモジュールガイド」を参照してください。
セッションデータ
Access Gatewayは、ユーザーの認証後にサーバー側のセッションを生成します。このセッションは一時的なものであり、ユーザーのセッションの間だけ維持されます。セッションはキーと値のペアを保持します。これらのペアは通常、IDPレポジトリから生成されます。セッションデータは、許可ルールの構築時に(正規表現と)照合するために使用されます。
セッション例: 'UserName=test.user@domain.com RemoteIP=68.203.82.29 RelayDomain=app1.oagwdev.2.domain.com firstName=Test lastName=User department=123 Groups=Test Group:Test Admin Group:Test Authorizer Group:Everyone:'各ポリシーの結果は監査され、Access Gateway管理者コンソールのモニタリングメニューで確認できます。
正規表現の詳細や、セッションデータに対するポリシー式のテスト/比較に関しては、正規表現式ツールを使用してください。
ポリシールール
Access Gatewayでは、保護対象ルールにPerl互換の正規表現(PCRE)が使用されます。
| ルール | 説明 |
|---|---|
| 保護対象 |
Access Gatewayでは、認証されたユーザーセッションが必要です。 |
| 保護対象外 |
Access Gatewayは、ユーザーセッションを強制しません。ヘッダーは保護対象外ポリシーのアプリケーションに渡されないことに注意してください。 |
| 保護対象ルール |
Access Gatewayでは、ユーザーセッションが必要です。セッションデータに対して正規表現の一致が行われます。正規表現が該当する式を確認した場合、Access Gatewayは場所へのアクセスを許可または拒否します。 |
| アダプティブルール |
動作は保護対象外と同様ですが、ヘッダーも提供されます。 |