ポリシーの検証

Policy Manager には 2 種類のポリシー検証があります。
gateway83
Policy Manager には 2 種類のポリシー検証があります。
  • ポリシーを設定するか編集するときの[Policy Validation Messages]ウィンドウ内のインスタント フィードバック メッセージ。
  • ポリシー ツールバーの[
    Save
    ]または[
    Validate
    ]がクリックされたときの最終ポリシー検証。 最終ポリシー検証はサーバに問い合わせるので、インスタント フィードバック メッセージより詳細な検証です。
[Policy Validation Message]ウィンドウが表示されていて、ポリシー検証フィードバックが[Preferences]で無効にされていないことを確認します。 ポリシー内の無効なアサーションは検証中に無視されます。
無効なポリシーを持ったサービスは引き続きアクティブで、有効で、アクセス可能です。 無効なサービスのみが非アクティブでアクセスできません。 サービスの無効化については、「公開サービスのプロパティ」を参照してください。
Preferences]の[Policy Validation Feedback]設定を使用することで、ポリシー検証を無効にすることができます。 たとえば、複雑なポリシーの構築中に検証を無効にすることで、Policy Manager の応答性を最大限に高めることができます。
インスタント フィードバック メッセージ
[Policy Validation Messages]ウィンドウは、ポリシー設定または編集中に重要なフィードバック メッセージを表示します。 ウィンドウは以下のタイプのメッセージを表示します。
メッセージ タイプ
説明
確認
確認メッセージは、アサーションが正しく追加され設定されたことを確認します。
警告
警告メッセージはアサーションが以下であることを警告します。
  • 複製されている
  • 別のアサーションを有効にする必要がある
  • 不適切に設定されている
エラー
エラー メッセージはアサーションが以下であることを警告します。
  • 設定されていない
  • ポリシー内で不適切に配置されている
  • 別のアサーションと競合している
インスタント フィードバック メッセージは、可能性のあるすべてのエラーを検出するようには設計されていません。 たとえば、インポートされたポリシー内の存在しないアイデンティティについてレポートしません。 常に最終ポリシー検証を実行し、メッセージをよく確認してください。
最終ポリシー検証メッセージ
ポリシー ツールバーの[
Save
]または[
Validate
]をクリックするか、またはメイン メニューから[
File
]-[
Validate
]を選択すると、Policy Manager は追加検証チェックを実行します。
  • ポリシーにエラーが含まれない場合、メッセージ「Policy validated ok」が表示されます。 これで、ポリシーを有効にするかエクスポートすることができます。
  • エラー メッセージが表示される場合は、以下の表を参照してトラブルシューティングを行います。
メッセージ タイプ
解決方法
アサーション整理エラー
アサーションは論理的順序で配置する必要があり、検証時に有効である必要があります。 一般的なポリシー エラーには以下のものがあります。
  • アサーションが順序どおりではない
  • アサーションの依存関係が確立されていない
  • ポリシーで参照されるユーザ/グループ IP が有効でなくなった
アサーションが「ポリシーの整理」で説明されている構成およびルールに適合するように、アサーションを再編成します。
アサーション設定エラー
ポリシー内の各アサーションの設定を再度確認します。 詳細については、各アサーションのドキュメントを参照してください。
アサーション許可エラー
検証メッセージ「Permission is denied for this assertion. The policy cannot be saved.」は、ポリシーに対して許可されないアサーションがポリシーに含まれることを示します。 これは、ポリシーとは別のセキュリティ ゾーンに属するアサーションが原因である可能性があります。または、ユーザにアサーションを保存するための十分な権限がありません。
アイデンティティ エラー
詳細については、以下の「無効なユーザおよびグループ」を参照してください。
このエラーの例: 「The corresponding identity cannot be found. Please remove the assertion from the policy.」
JMS 警告メッセージ
詳細については、「無効な JMS キュー」を参照してください。
このエラーの例: 「The assertion might not work as configured. There is no protected service JMS queue defined.」
保存エラー
メッセージ「Error saving service and policy」が表示されます。 このエラーは、複数の Policy Manager が同時に同じポリシーを変更し、その結果競合する場合に発生します。 これが発生した場合は、エラー メッセージを閉じ、サービス ポリシーをリフレッシュし、必要に応じてポリシーをさらに変更し、再度保存してみます。
ネームスペース エラー
次のようなメッセージが表示されます。「Assertion: <name> Warning: This assertion contains an XPath that uses the SOAP 1.1 envelope namespace URI, but the service is configured as using only SOAP 1.2. The XPath will always fail.」
これを修正するには、メッセージの隣の[Fix It]リンクをクリックします。 これによって、すべての XPath アサーションのネームスペースを更新できます。 詳細については、「ネームスペースの移行」を参照してください。
エラーが残らなくなるまでポリシーの検証を続行します。 この時点で、ポリシーを有効にするかエクスポートすることができます。
無効なユーザまたはグループ
以下のいずれかが発生した場合、ポリシー検証中にアイデンティティ エラーを受信します。
  • ポリシーの内部アイデンティティ プロバイダのユーザのアカウントが有効期限切れである。
  • ポリシーのユーザまたはグループが LDAP アイデンティティ プロバイダ、フェデレーション アイデンティティ プロバイダ、または内部アイデンティティ プロバイダから削除されている。
これらのエラーを解決するには、以下の表を参照してください。
Resolution
手順
アイデンティティが必要ではなくなった
  • アサーションを削除します。
ユーザまたはグループを保持する必要がある
  1. アサーションを削除します。
  2. ユーザの新しいアカウントの有効期限を設定します(「内部アイデンティティ プロバイダのユーザおよびグループ」を参照)。
    または
    ユーザまたはグループを適切な内部アイデンティティ プロバイダのユーザおよびグループ、フェデレーション アイデンティティ プロバイダのユーザおよびグループ、または LDAP アイデンティティ プロバイダに再度追加します。
    : LDAP アイデンティティ プロバイダのユーザおよびグループは Policy Manager の外部で定義されるため、適切な外部管理プログラムを使用して見つからない LDAP アイデンティティ プロバイダのユーザおよびグループを再度追加します。
  3. Authenticate User or Group アサーションを使用して、ユーザまたはグループをポリシーに再度追加します。
  4. ポリシー ツールバーの[
    Validate
    ]または[
    Save
    ]をクリックして、最終検証チェックを実行します。
新しいポリシーを構築する場合、ターゲット アイデンティティ プロバイダにないユーザやグループを追加することはできません。
無効な JMS キュー
JMS ルーティングが新しいポリシーまたは既存のポリシーで使用される場合、検証プロセスは Route via JMS アサーションに関連付けられた送信キューを確認します。 キューが未指定か無効な場合、エラー メッセージが[Policy Validation Messages]ウィンドウに表示されます。 エラーが発生する場合は、以下の手順を試してみます。
  1. 送信 JMS キューを入力するか再入力します。
  2. 送信 JMS キューをテストします。
  3. 必要に応じて、新しいキューまたは修正されたキューに対して JMS Routing アサーションを編集します。