Access Gatewayポリシーの例

このトピックでは、さまざまなポリシーアクセスルールを構成する方法の例を提供します。これらのルールは、ポリシーアプリケーションエディターを使用して構成できます。

保護対象ポリシー

フィールド
有効なポリシー(Enabled Policy) ポリシーを有効化または無効化します。
ポリシータイプ(Policy Type ) 保護(Protected)または非保護(Not Protected)から選択します。
名前(Name) 一意なポリシー名
リソースパス(Resource Path) このポリシーで管理するリソースへのパス。
説明(Description) 管理者に役立つ説明。

保護対象ルールポリシー

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
名前(Name) 一意なポリシー名
リソースパス(Resource Path) このポリシーで管理するリソースへのパス。
ルールに一致するリソース(Resource Matching Rule) このフィールドでポリシーの正規表現を定義できます。例については、「保護対象ルールのリソース一致ルール式」をご覧ください。
説明(Description) 管理者に役立つ説明。

認証済みのユーザーのアクセスを許可する

このポリシーは、認証済みのユーザー全員にルートURL(/)へのアクセスを許可します。これはデフォルトルールです。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /

IdP Everyoneグループの認証済みのユーザーのアクセスを許可する

多くのアプリがディープリンクでデフォルト認証動作を使用する必要がある場合、ポリシーが[Everyone]グループを許可するよう設定します。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /custom
ルールに一致するリソース(Resource Matching Rule) Groups=((?=(|.:)Everyone(R|:.*)))

認証なしでアクセスを許可する

認証なしで全員がアクセスする必要があるURLについては、リソースルール(Resource Rule)非保護(Not Protected)に設定します。

フィールド
リソースルール(Resource Rule) 保護対象外(Not Protected)
リソースパス(Resource Path) /public

特定のユーザーにアクセスを許可する

1人のユーザーにアクセスを許可する

特定のユーザーがURLへのアクセスを必要とする場合は、リソース一致ルール(Resource Matching Rule)の[Regex(正規表現)]をユーザー名に設定します。この例では、ユーザーadmin@domain.comが、URL /uri2にアクセスできるようにします。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri2
ルールに一致するリソース(Resource Matching Rule) UserName=admin@domain.com

複数のユーザーへのすべてのアクセス

縦棒キー(|)を使用して、ユーザー名を区切ります。この例では、admin@domain.comtest@domain.comがURLにアクセスできるようにします。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri2
ルールに一致するリソース(Resource Matching Rule) UserName=admin@domain.com | test@domain.com

特定のグループにアクセスを許可する

1つのグループにアクセスを許可する

特定のグループがURIへのアクセスを必要とする場合は、リソース一致ルール(Resource Matching Rule)の[Regex(正規表現)]をグループ名に設定します。この例では、管理者グループがURI /uri3にアクセスできるようにします。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri3
ルールに一致するリソース(Resource Matching Rule) Groups=((?=(|.*:)Admins(\R|:.*)))

いずれかのグループへのアクセスを許可する

縦棒キー(|)を使用して、グループ名を区切ります。これはOR条件です。この例では、管理者グループまたはマネージャーグループがURIにアクセスできるようにします。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri3
ルールに一致するリソース(Resource Matching Rule) Groups=((?=(|.*:)Admins(\R|:.*)))|((?=(|.*:)Managers(\R|:.*)))

複数のグループへのアクセスを許可する

AND条件を使用します。この例では、管理者グループおよびマネージャーグループがURIにアクセスできるようにします。グループ名を区切る縦棒キー(|)がないことにご注意ください。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri3
ルールに一致するリソース(Resource Matching Rule) Groups=((?=(|.*:)Admins(\R|:.*)))((?=(|.*:)Managers(\R|:.*)))

複数一致がある特定グループおよびユーザーのアクセスを許可する

特定のグループおよびユーザーがURIへのアクセスを必要とする場合は、リソース一致ルール(Resource Matching Rule)の[Regex(正規表現)]をグループ名とユーザー名に設定します。この例では、管理者グループとIamIT@domain.tldユーザーがURIにアクセスできるようにします。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri3
ルールに一致するリソース(Resource Matching Rule) (?=.*Groups=((?=(|.*:)Admin(\R|:.*))))(?=.*UserName=ImaIT@domain\.tld)

特定のグループのアクセスを拒否する

特定のグループ以外の全ユーザーがURIにアクセスできるようにする場合は、リソース一致ルール(Resource Matching Rule)の[Regex(正規表現)]をグループ名に設定します。この例では、DeniedGroupグループ以外の任意のグループのユーザーがアクセスできるようにします。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri3
ルールに一致するリソース(Resource Matching Rule) Groups=((?!(|.*:)DeniedGroup(\R|:.*)))

この例では、リソース一致ルール(Resource Matching Rule)オプションを複数の制約に設定します。管理者グループにUserName=denied@domain.tldのユーザーが含まれている場合、そのユーザーはURIにアクセスできません。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri3
ルールに一致するリソース(Resource Matching Rule) (?=.*Groups=((?=(|.*:)Admins(\R|:.*))))(?=.*UserName=(?!denieduser@domain\.tld))

特定のリモートIPアドレスへのアクセスを許可または拒否する

1つのリモートIPアドレスへのアクセスを許可する

リソース一致ルール(Resource Matching Rule)の[Regex(正規表現)]をリモートIPアドレスに設定します。この例では、リモートIPアドレス192.168.10.189でURIにアクセスできます。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri4
ルールに一致するリソース(Resource Matching Rule) RemoteIP=(?=192\.168\.10\.189)

特定範囲のリモートIPアドレスへのアクセスを許可する

リソース一致ルール(Resource Matching Rule)の[Regex(正規表現)]を特定範囲のリモートIPアドレスに設定します。この例では、192.168.10.200~192.168.10.250の範囲内のリモートIPアドレスがURIにアクセスできるようにします。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri4
ルールに一致するリソース(Resource Matching Rule) RemoteIP=(?=192\.168.10.2([0-4][0-9]|50))

1つのリモートIPアドレスへのアクセスを拒否する

リソース一致ルール(Resource Matching Rule)の[Regex(正規表現)]をリモートIPアドレスに設定します。この例では、リモートIPアドレス192.168.10.209に対するURIへのアクセスを拒否します。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri4
ルールに一致するリソース(Resource Matching Rule) RemoteIP=(?!192.168.10.209)

特定範囲のリモートIPアドレスへのアクセスを拒否する

リソース一致ルール(Resource Matching Rule)の[Regex(正規表現)]を特定範囲のリモートIPアドレスに設定します。この例では、192.168.10.100~192.168.10.200の範囲にあるリモートIPアドレスに対してURIへのアクセスを拒否します。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri4
ルールに一致するリソース(Resource Matching Rule) RemoteIP=(?!192\.168\.10\.(1([0-9][0-9])|200))

特定のUSER_AGENTへのアクセスを許可または拒否する

ユーザーが特定のリソースにアクセスする際に使用できるブラウザーを、許可設定と拒否設定を組み合わせて制御することができます。

特定のUSER_AGENTへのアクセスを許可する

URIへのアクセスを特定のUSER_AGENT(ブラウザー)に制限するには、リソース一致ルール(Resource Matching Rule)の[Regex(正規表現)]をUSER_AGENTに設定します。この例では、USER_AGENTがGoogle Chromeを使用してのみURIにアクセスできるようにします。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri5
ルールに一致するリソース(Resource Matching Rule) USER_AGENT=(?=.*Chrome)

特定のUSER_AGENTへのアクセスを拒否する

特定のブラウザーを使用してURIにアクセスするユーザーを拒否するには、リソース一致ルール(Resource Matching Rule)の[Regex(正規表現)]をUSER_AGENTに設定します。この例では、Google Chromeを使用してユーザーがURIにアクセスすることをブロックしているため、別のブラウザーを使用しなければなりません。

フィールド
リソースルール(Resource Rule) 保護対象ルール(Protected Rule)
リソースパス(Resource Path) /uri5
ルールに一致するリソース(Resource Matching Rule) USER_AGENT=(?!.*Chrome)