保護対象ルールのリソース一致ルール式

保護対象ポリシールールは、エンドユーザーがルールと一致するかどうかを判断するためにリソース一致ルールを必要とします。リソース一致ルールは正規表現に基づいています。

Access Gatewayは、共通のベースライン式を持つ一連のメニュー項目を提供します。これらのメニュー項目は、特定のニーズに合わせて選択・変更できます。

指定された式に基づき保護対象ルールを修正する

  1. Access Gateway管理者UIコンソールに進みます。
  2. [Applications(アプリケーション)]タブを選択します。

  3. 既存の保護対象ルールを含む、または新しい保護対象ルールが必要なアプリケーションを選択し、[Edit(編集)]をクリックします。

  4. Policies(ポリシー)セクションを選択します。
  5. 既存の保護対象ルールを選択し、[Edit(編集)]をクリックします。または、新しい保護対象ルールを作成することもできます。新しい保護対象ルールの追加に関する詳細については、「アプリケーションポリシーを管理する」を参照してください。
  6. ポリシーメニューをクリックし、定義済みのポリシーの中から1つを選択し、[Use this(これを使用する)]をクリックします。

  7. 必要に応じてポリシーを修正します。

定義済みポリシー

以下の定義済みのポリシーが提供されています。

ポリシー 説明
Allow Group(グループを許可) エンドユーザーが単一の指定されたグループのメンバーである場合、指定されたリソースへのアクセスを許可します。

例:Groups=((?=(|.:)Everyone(R|:.*)))

Deny Group(グループを拒否) エンドユーザーが単一の指定されたグループのメンバーである場合、指定されたリソースへのアクセスを拒否します。

例:Groups=((?!(|.*:)Everyone(\R|:.*)))

Allow RemoteIP(RemoteIPを許可) エンドユーザーのIPが指定された正規表現と一致する場合、指定されたリソースへのアクセスを許可します。

例:RemoteIP=(?=192\..*)

Deny RemoteIP(RemoteIPを拒否) エンドユーザーのIPが指定された正規表現と一致する場合、指定されたリソースへのアクセスを拒否します。

例:RemoteIP=(?!192\..*)

Allow OR Groups(ORグループを許可) ユーザーが1つのグループまたは別のグループのグループメンバーシップを持っている場合、リソースへのアクセスを許可します。

例:Groups=((?=(|.*:)Everyone(\R|:.*)))|((?=(|.*:)Group2(\R|:.*)))

Allow AND Groups(ANDグループを許可) ユーザーが2つのグループのグループメンバーシップを持っている場合、リソースへのアクセスを許可します。

例:Groups=((?=(|.*:)Everyone(\R|:.*)))((?=(|.*:)Group2(\R|:.*)))

Allow User(ユーザーを許可) ユーザー名が一致する場合、リソースへのアクセスを許可します。

例:UserName=user@example.com

Deny User(ユーザーを拒否)

ユーザー名が一致する場合、リソースへのアクセスを拒否します。

例:UserName=(?!test@example.com)

Allow Group AND User(グループとユーザーがAND条件に一致する場合に許可) ユーザーのグループメンバーシップかつユーザー名が一致する場合、リソースへのアクセスを許可します。

例:(?=.*Groups=(?=(|.:)Everyone(R|:.*)))(?=.*UserName=user1@domain.tld)

Allow Group AND Deny User(グループとユーザーが一致しない場合に許可) ユーザーがグループメンバーシップを持っていて、かつユーザー名が一致しない場合、リソースへのアクセスを許可します。

例:(?=.*Groups=(?=(|.:)Everyone(R|:.*)))(?=.*UserName=(?!user3@domain.tld))

式を選択した後は、特定のニーズに合わせて修正できます。

リソース一致ルールフィールド

リソース一致ルールは、アプリケーション属性に基づき正規表現です。定義済みポリシーは、グループ、ユーザー名、RemoteIPなどの属性を使用します。リソース一致ルールでは、任意のアプリケーション属性を使用できます。一般的な属性マッピングには、以下の通りです。

データソース フィールド 名前
IDP グループ Groups
IDP メール UserName
IDP ログイン login
提供されており、属性として定義する必要はありません。 RemoteIP

USER_AGENT

リソース一致ルールでのみ使用される属性は、[Send Attribute(属性を送信する)]を無効にする必要があります。

関連項目

Access Gatewayポリシーの例

アプリケーションポリシーを管理する