保護対象ルールのリソース一致ルール式
保護対象ポリシールールは、エンドユーザーがルールと一致するかどうかを判断するためにリソース一致ルールを必要とします。リソース一致ルールは正規表現に基づいています。
Access Gatewayは、共通のベースライン式を持つ一連のメニュー項目を提供します。これらのメニュー項目は、特定のニーズに合わせて選択・変更できます。
指定された式に基づき保護対象ルールを修正する
- Access Gateway管理者UIコンソールに進みます。
-
アプリケーション(Applications)タブを選択します。
-
既存の保護対象ルールを含む、または新しい保護対象ルールが必要なアプリケーションを選択し、編集(Edit)をクリックします。
- ポリシー(Policies)セクションを選択します。
- 既存の保護対象ルールを選択し、編集(Edit)をクリックします。または、新しい保護対象ルールを作成することもできます。新しい保護対象ルールの追加に関する詳細については、「アプリケーションポリシーを管理する」を参照してください。
- ポリシーメニューをクリックし、定義済みのポリシーの中から1つを選択し、これを使用する(Use this)をクリックします。
- 必要に応じてポリシーを修正します。
定義済みポリシー
以下の定義済みのポリシーが提供されています。
| ポリシー | 説明 |
|---|---|
| グループを許可(Allow Group) | エンドユーザーが単一の指定されたグループのメンバーである場合、指定されたリソースへのアクセスを許可します。 例: |
| グループを拒否(Deny Group) | エンドユーザーが単一の指定されたグループのメンバーである場合、指定されたリソースへのアクセスを拒否します。 例: |
| RemoteIPを許可(Allow RemoteIP) | エンドユーザーのIPが指定された正規表現と一致する場合、指定されたリソースへのアクセスを許可します。 例: |
| RemoteIPを拒否(Deny RemoteIP) | エンドユーザーのIPが指定された正規表現と一致する場合、指定されたリソースへのアクセスを拒否します。 例: |
| ORグループを許可(Allow OR Groups) | ユーザーが1つのグループまたは別のグループのグループメンバーシップを持っている場合、リソースへのアクセスを許可します。 例: |
| ANDグループを許可(Allow AND Groups) | ユーザーが2つのグループのグループメンバーシップを持っている場合、リソースへのアクセスを許可します。 例: |
| ユーザーを許可(Allow User) | ユーザー名が一致する場合、リソースへのアクセスを許可します。 例: |
| ユーザーを拒否(Deny User) |
ユーザー名が一致する場合、リソースへのアクセスを拒否します。 例:UserName=(?!test@example.com) |
| グループとユーザーがAND条件に一致する場合に許可(Allow Group AND User) | ユーザーのグループメンバーシップかつユーザー名が一致する場合、リソースへのアクセスを許可します。 例: |
| グループとユーザーが一致しない場合に許可(Allow Group AND Deny User) | ユーザーがグループメンバーシップを持っていて、かつユーザー名が一致しない場合、リソースへのアクセスを許可します。 例: |
式を選択した後は、特定のニーズに合わせて修正できます。
リソース一致ルールフィールド
リソース一致ルールは、アプリケーション属性に基づき正規表現です。定義済みポリシーは、グループ、ユーザー名、RemoteIPなどの属性を使用します。リソース一致ルールでは、任意のアプリケーション属性を使用できます。一般的な属性マッピングには、以下の通りです。
| データソース | フィールド | 名前 |
|---|---|---|
| IDP | グループ | Groups |
| IDP | メール | UserName |
| IDP | ログイン | login |
| 提供されており、属性として定義する必要はありません。 | RemoteIP USER_AGENT |
|
リソース一致ルールでのみ使用される属性は、属性を送信する(Send Attribute)を無効にする必要があります。
関連項目