ポータルアプリにリダイレクトポリシーを追加する

このトピックでは、リクエストをバックエンドの保護対象Webリソースにリダイレクトするアクセスポリシーの作成方法について説明します。

作成が必要な第2、第3、その他のバックエンドリダイレクトごとに1つのポリシーを作成します。

ポリシーを作成するには、Access Gateway管理者UIコンソールのテキストフィールドに設定を入力します。

ポリシーは、次のコンポーネントから構成されます。

  • ポリシーコンテナ。/2ndのようなURIを割り当てます。

  • カスタム構成コード。以下のセクションが含まれます。
    • policy_type など、ポリシーのオーバーライド設定
    • セッション変数
    • ポリシーの属性を表すSAMLアサーションからのキー
    • 必須のボイラープレートコード
    • 書き換えられたインバウンドリクエスト
    • 書き換えられたアウトバウンドリクエスト
    • 書き換えられた302リダイレクト
    • ヘッダーフィールド

リダイレクトポリシーを追加する

  1. [policies(ポリシー)]タブを選択します。
  2. ポリシーリストのヘッダーにある[Add(追加)](「+」アイコン)をクリックして、[Protected(保護対象)]を選択します。
  3. ポリシータイプを[Custom(カスタム)]に変更します。
  4. [Advanced(詳細設定)]を展開します。
  5. セクション内のコードをカスタム構成テキストフィールドに入力します。この手順の説明どおりにセクションを順序付けします。ポリシー構成全体の例については、「コードブロックの完成例」を参照してください。
  6. ポリシータイプを構成します。ポリシータイプのリストについては、「ポリシータイプ」を参照してください。 set $policy_type "PROTECTED"
  7. set $policy_*ステートメントの後にセッション変数を追加します。 #Session variables set $UserName ''; set $oag_username ''; set $RemoteIP ''; set $RelayDomain ''; set $SESSIONID '';
  8. 対応するインデックス付き変数のセットを属性ごとに指定します。これは、SAMLアサーションからのキーです。アプリの属性とインデックス付き変数には、1対1の対応が必要です。
    次の例には3つの属性があります。したがって、3つのsetステートメントと、追加のカウントsetステートメントを作成します。フィールド名は、[Name(名前)]列に指定された名前と一致する必要があります。また、$_argc変数は、ステートメント内の属性の総数(この例では3)と一致する必要があります。 # Keys from the SAML Assertion # authSession looks in the session for these keys # and populate the indexed variables set $_1 'oagusername'; set $_2 'firstname'; set $_3 'lastname'; set $_argc 3;

    次の図は、ポリシー構成内のステートメントとAccess Gateway管理者UIコンソールに表示される列名の関係を示しています。

  9. 例に示されるようなボイラープレートステートメントを入力します。変数とURLは独自の値に置き換えてください。 # process request policies access_by_lua_file conf/authSession.lua; # resolver -required if using domain and not IP resolver 127.0.0.1 valid=30s ; set $backend2 https://2ndbackend.myportal.com/ ; proxy_pass $backend2 ;
  10. インバウンドの相対および絶対リクエストを書き換えます。アプリのパスをAccess GatewayアプリのURIに置き換えます。このURIが追加のバックエンドプロキシサーバーに渡されることになります。この例では/2ndをURIとして使用します。# rewrite incoming requests to remove the /2nd # for relative links: subs_filter href="/ href="/2nd/ gir; # for absolute links: subs_filter 'https://2ndbackend.myportal.com/' 'https://$http_host/2nd/' ;
  11. アウトバウンドの相対および絶対リクエストを書き換えます。 # Rewrite outbound requests to add back in /2nd # for absolute links subs_filter https://2ndbackend.myportal.com/ https://$http_host/2nd/ gir; # for relative links subs_filter href="/ href="/2nd/ gi;
  12. 管理されているディレクティブ、アプリ用のヘッダー、ホスト名を構成します。元の属性値のサブセットである可能性があるすべての必須ヘッダーをリクエストに追加します。 # common managed directives include /etc/nginx/conf/icsgw_location_common.conf; # Include headers for application proxy_set_header oag_username $_1; proxy_set_header firstname $_2; proxy_set_header lastname $_3; # set to hostname that the protected upstream app needs proxy_set_header host $host;
  13. [Not validated(未検証)]をクリックしてコードブロックを検証します。コードが有効であれば、[Not validated(未検証)][Valid(有効)]に変わります。
  14. エラーがあれば訂正してから[Okay(OK)]をクリックします。
  15. [Done(完了)]をクリックします。

コードブロックの完成例

以下は、すべてのリクエストをwww.myportal.com/2ndから2ndbackend.myportal.comへリダイレクトする完全なコードブロックの例です。 set $policy_type "PROTECTED"; # The values from auth Session set $UserName ''; set $oag_username ''; set $RemoteIP ''; set $RelayDomain ''; set $SESSIONID ''; # Keys from the SAML Assertion # authSession looks in the session for these keys # and populate the indexed variables set $_1 'oagusername'; set $_2 'firstname'; set $_3 'lastname'; set $_argc 3; # process request policies access_by_lua_file conf/authSession.lua; # resolver -required if using a domain and not an IP address resolver 127.0.0.1 valid=30s ; set $<set_variable_name> https://2ndbackend.myportal.com/ ; proxy_pass $<set_variable_name> ; # rewrite incoming requests to remove the /2nd # for relative links: subs_filter href="/ href="/2nd/ gir; # for absolute links: subs_filter 'https://2ndbackend.myportal.com/' 'https://$http_host/2nd/' ; # Rewrite outbound requests to add back in /2nd # for absolute links subs_filter https://2ndbackend.myportal.com/ https://$http_host/2nd/ gir; # for relative links subs_filter href="/ href="/2nd/ gi; # common managed directives include /etc/nginx/conf/icsgw_location_common.conf; # Include headers for application proxy_set_header oagusername $_1; proxy_set_header firstname $_2; proxy_set_header lastnamename $_3; # set to the hostname that the protected upstream app needs proxy_set_header host $host;

次の手順

この手順を必要なリダイレクトごとに繰り返します。第3のポリシーを追加するのであれば、https://3rdbackend.myportal.com/にリダイレクトする/3rdのような名前を使用します。

ポータルベースのアプリをテストする

関連トピック

ポリシータイプ