保護対象ルールのリソース一致ルール式
保護対象ポリシールールは、エンドユーザーがルールと一致するかどうかを判断するためにリソース一致ルールを必要とします。リソース一致ルールは正規表現に基づいています。
Access Gatewayは、共通のベースライン式を持つ一連のメニュー項目を提供します。これらのメニュー項目は、特定のニーズに合わせて選択・変更できます。
指定された式に基づき保護対象ルールを修正する
- Access Gateway管理者UIコンソールに進みます。
-
[Applications(アプリケーション)]タブを選択します。
-
既存の保護対象ルールを含む、または新しい保護対象ルールが必要なアプリケーションを選択し、[Edit(編集)]をクリックします。
- Policies(ポリシー)セクションを選択します。
- 既存の保護対象ルールを選択し、[Edit(編集)]をクリックします。または、新しい保護対象ルールを作成することもできます。新しい保護対象ルールの追加に関する詳細については、「アプリポリシーを管理する」を参照してください。
- ポリシーメニューをクリックし、定義済みのポリシーの中から1つを選択し、[Use this(これを使用する)]をクリックします。
- 必要に応じてポリシーを修正します。
定義済みポリシー
以下の定義済みのポリシーが提供されています。
| ポリシー | 説明 |
|---|---|
| Allow Group(グループを許可) | エンドユーザーが単一の指定されたグループのメンバーである場合、指定されたリソースへのアクセスを許可します。 例:Groups=((?=(|.:)Everyone(R|:.*))) |
| Deny Group(グループを拒否) | エンドユーザーが単一の指定されたグループのメンバーである場合、指定されたリソースへのアクセスを拒否します。 例:Groups=((?!(|.*:)Everyone(\R|:.*))) |
| Allow RemoteIP(RemoteIPを許可) | エンドユーザーのIPが指定された正規表現と一致する場合、指定されたリソースへのアクセスを許可します。 例:RemoteIP=(?=192\..*) |
| Deny RemoteIP(RemoteIPを拒否) | エンドユーザーのIPが指定された正規表現と一致する場合、指定されたリソースへのアクセスを拒否します。 例:RemoteIP=(?!192\..*) |
| Allow OR Groups(ORグループを許可) | ユーザーが1つのグループまたは別のグループのグループメンバーシップを持っている場合、リソースへのアクセスを許可します。 例:Groups=((?=(|.*:)Everyone(\R|:.*)))|((?=(|.*:)Group2(\R|:.*))) |
| Allow AND Groups(ANDグループを許可) | ユーザーが2つのグループのグループメンバーシップを持っている場合、リソースへのアクセスを許可します。 例:Groups=((?=(|.*:)Everyone(\R|:.*)))((?=(|.*:)Group2(\R|:.*))) |
| Allow User(ユーザーを許可) | ユーザー名が一致する場合、リソースへのアクセスを許可します。 例:UserName=user@example.com |
| Deny User(ユーザーを拒否) |
ユーザー名が一致する場合、リソースへのアクセスを拒否します。 例:UserName=(?!test@example.com) |
| Allow Group AND User(グループとユーザーがAND条件に一致する場合に許可) | ユーザーのグループメンバーシップかつユーザー名が一致する場合、リソースへのアクセスを許可します。 例:(?=.*Groups=(?=(|.:)Everyone(R|:.*)))(?=.*UserName=user1@domain.tld) |
| Allow Group AND Deny User(グループとユーザーが一致しない場合に許可) | ユーザーがグループメンバーシップを持っていて、かつユーザー名が一致しない場合、リソースへのアクセスを許可します。 例:(?=.*Groups=(?=(|.:)Everyone(R|:.*)))(?=.*UserName=(?!user3@domain.tld)) |
式を選択した後は、特定のニーズに合わせて修正できます。
リソース一致ルールフィールド
リソース一致ルールは、アプリケーション属性に基づき正規表現です。定義済みポリシーは、グループ、ユーザー名、RemoteIPなどの属性を使用します。リソース一致ルールでは、任意のアプリケーション属性を使用できます。一般的な属性マッピングには、以下の通りです。
| データソース | フィールド | 名前 |
|---|---|---|
| IDP | グループ | Groups |
| IDP | メール | UserName |
| IDP | ログイン | login |
| 提供されており、属性として定義する必要はありません。 | RemoteIP USER_AGENT |
|
リソース一致ルールでのみ使用される属性は、[Send Attribute(属性を送信する)]を無効にする必要があります。
