内部使用ポリシー

内部使用ポリシーは、特定の結果を達成するように設計されている事前設定された特別なポリシーです。 これらのポリシーはすべての に含まれています。
gateway90
内部使用ポリシーは、特定の結果を達成するように設計されている事前設定された特別なポリシーです。 これらのポリシーはすべての
Layer7 API Gateway
に含まれています。
内部使用ポリシーを使用するには、新しいポリシーを作成するときにポリシー タイプに[Internal Use Policy]を選び、次にポリシー タグのリストから使用するポリシーを選択します。 詳細については、「ポリシーまたはポリシー フラグメントの作成」を参照してください。
以下の内部使用ポリシーが、
Layer7 API Gateway
で現在使用可能です。
  • wsdm-notifications
  • 監査メッセージ フィルタ
  • 監査ビューア
wsdm-notifications
wsdm-notifications ポリシーは各 WSDM 通知メッセージに対して評価されます。 このメッセージは、「WSDM サブスクリプション サービス」内部サービスを介して追加されるサブスクリプションに関連しています。 このポリシーでは、リクエストは通知メッセージに初期化されます。
このポリシーは、${esmNotificationUrl} にルーティングする Route via HTTP(S) アサーションを追加します。これは、EsmSubscriptionManagementServiceBinding 内のサブスクライブ方法の「<wsnt:Subscribe><wsnt:ConsumerReference><wsa:Address>」タグの値を参照します。
監査メッセージ フィルタ(AMF)ポリシー
AMF ポリシーは、メッセージから機密データを削除し、監査前にデータを保護するように設計されています。 このポリシーは、AV (監査ビューア)ポリシーと共に使用することを目的としています。
サービス ポリシーおよびグローバル ポリシー フラグメントが完了した後、AMF ポリシーは監査される各リクエスト/レスポンスに対して実行されます。 これによって、ポリシー作成者は(たとえば)メッセージから機密データを削除したり、必要な暗号化またはシグネチャをメッセージに適用したりできます。
AMF ポリシーによって実行されるリクエスト メッセージには、
Layer7 API Gateway
によるセキュリティの修飾を取り除くプロセスが行われることがあります。 その結果、リクエストは
Layer7 API Gateway
によって最初に受信されたリクエストと同じではなくなることがあります。
メッセージは以下の条件で監査されます。
  1. ポリシーには、十分に高レベルで設定されている Audit Messages in Policy アサーションが含まれます。
  2. アサーションは失敗し、ターゲット メッセージが監査されます (これは、audit.hinting クラスタ プロパティがデフォルト値「true」に設定されると仮定します)。
AMF ポリシーが正常に完了すると、リクエストまたはレスポンス メッセージ内の値が
Layer7 API Gateway
の監査サブシステム(内部データベースまたは監査ログ シンク(設定されている場合)のいずれか)に渡されます。 AMF ポリシーが失敗すると(つまり、アサーションの 1 つが「0」以外の任意のアサーション ステータス コードを返すと)、メッセージは監査サブシステムに送信されません。 代わりに、AMF ポリシーが関連するメッセージ(リクエストまたはレスポンス)に対して失敗したことを示す監査詳細が監査レコードに追加されます。
監査メッセージ フィルタ ポリシーはポリシー メッセージ監査に対してのみ実行されます。 このタイプの監査および一般的な
Layer7 API Gateway
の監査の詳細については、「メッセージ監査」を参照してください。
AMF ポリシーを使用する場合、以下に注意してください。
  • Layer7 API Gateway
    クラスタごとに AMF ポリシーを 1 つだけ作成できます。
  • このポリシーは、その他のサービス ポリシーまたはグローバル ポリシー フラグメントによって作成されたコンテキスト変数にアクセスできません。
  • AMF ポリシー内の監査は無効です。
  • AMF ポリシーの出力は、AV ポリシーで使用するためにテキスト/XML である必要があります。
  • AMF ポリシーは、監査ビューア サブジェクト証明書を (Non-SOAP) Encrypt XML アサーションの受信者証明書として使用することがあります。 AV キーを指定した後に AMF ポリシーを作成する場合、デフォルト AMF ポリシーは AV キーに対して暗号化します。 ただし、受信者証明書が指定された AV キー以外である場合、現在警告はありません。
デフォルト AMF ポリシーの理解
AMF ポリシーを追加すると(アサーションがすべてライセンスされると仮定して)、以下のデフォルト ポリシーが作成されます。
image2014-10-15 17:56:34.png
デフォルト ポリシーには以下のアサーションが含まれているので、出発点として役立ちます。
  • Encode/Decode Data アサーション
    : このアサーションは、リクエストを Base64 形式へエンコードします。これは、さまざまなメッセージ タイプの処理で最大の柔軟性を提供します。
  • Set Context Variable アサーション:
    このアサーションは、Base64 データが含まれる任意の
    Layer7 API Gateway
    スキーマを使用して XML メッセージ変数を作成します。
  • (Non-SOAP) Encrypt XML Element アサーション
    : このアサーションは、XML メッセージをリクエストへ暗号化します。
デフォルト アサーションを出発点として使用すると、独自の AMF ポリシーを作成するのに役立ちます。 詳細については、「ポリシーの作成」を参照してください。
AMF ポリシーをポリシー フラグメントとして作成します。 これにより、テストおよびトラブルシューティングが簡単に行えます。 詳細については、「 ポリシー フラグメントの使用」を参照してください。
監査ビューア(AV)ポリシー
[Gateway Audit Events]ウィンドウで監査(監査メッセージまたは監査詳細用)を表示する場合、AV ポリシーを呼び出すことができます。 AV ポリシーは、AMF ポリシーのアクションを元に戻すことを目的としています。 セキュリティ ロールを使用すると、AMF ポリシーによって保護されたデータを表示するビジネス ニーズがあるユーザにのみ AV ポリシーを制限できます。 AV ポリシーは、この制限されたアクセスを適用するために特別な「監査ビューア」秘密鍵を使用します。
監査の表示については、「Gateway の監査イベント」を参照してください。 監査ビューアの秘密鍵については、「秘密鍵のプロパティ」を参照してください。
AV ポリシーは、AMF ポリシーによって暗号化されたメッセージ(リクエストまたはレスポンス)を受信し、[Gateway Audit Events]ウィンドウに復号化された形式でそれらを表示します。
AV ポリシーを使用する場合、以下に注意してください。
  • Layer7 API Gateway
    クラスタごとに AV ポリシーを 1 つだけ作成できます。
  • AV ポリシーは、処理される監査メッセージまたは監査詳細が XML 形式(Content-Type 「text/xml」)であると仮定します。 そうでない場合、AV ポリシーは処理できません。
  • このポリシーは、その他のサービス ポリシーまたはグローバル ポリシー フラグメントによって作成されたコンテキスト変数にアクセスできません。
  • AV ポリシーで Run All Assertions Concurrently アサーションを使用しないようにします。
デフォルト AV ポリシーの理解
AV ポリシーを追加すると(アサーションがすべてライセンスされると仮定)、以下のデフォルト ポリシーが作成されます。
image2014-10-15 18:1:9.png
デフォルト ポリシーには以下のアサーションが含まれます。
  • (Non-SOAP) Decrypt XML Element アサーション
    : このアサーションは、AMF ポリシーによって暗号化された XML を復号化します。
  • Evaluate Request XPath アサーション
    : このアサーションは、XPATH クエリを使用し、リクエストから Base64 データを抽出します。
  • Encode/Decode Data アサーション
    : このアサーションは、結果をテキスト/XML 形式にデコードします。
デフォルト アサーションは、デフォルト AMF ポリシーの影響を元に戻すように設計されています。 それらを出発点として使用すると、独自の AV ポリシーを作成するのに役立ちます。 詳細については、「ポリシーの作成」を参照してください。
AV ポリシーをポリシー フラグメントとして作成します。 これにより、テストおよびトラブルシューティングが簡単に行えます。 ポリシー フラグメントは、Add Audit Detail アサーションを介して監査されたデータの保護にも使用できます。 詳細については、「 ポリシー フラグメントの使用」を参照してください。