アプリケーション オブジェクトを使用して、アプリケーション セキュリティ ポリシーを定義するためのユース ケース

2
sm1252sp1jjp
2
Web ポータルを保護するアプリケーション セキュリティ ポリシー
このユース ケースのソフトウェア会社(sample-software-company.com)は、会社概要と製品に関する情報を公開する Web ポータルを運営しています。
メイン ホーム ページと製品情報ページの販促資料やホワイト ペーパーには、だれでも制限なくアクセスできます。Web ポータルのこの領域には、セキュリティ ポリシーを必要としません。ただし、ソフトウェア ダウンロード領域へのアクセスは登録済みの顧客に制限します。各顧客にはユーザ名とパスワードが割り当てられ、LDAP ディレクトリ サーバに保存されます。
以下のユース ケースは、アプリケーション セキュリティ ポリシーで、登録済みの顧客のみがアクセスできるように制限してソフトウェア ダウンロード領域を保護する方法を示します。
例:
  • 環境には、登録済みの顧客全員のユーザ名とパスワードが保存されている LDAP ディレクトリ サーバが 1 つあります。
  • 顧客はユーザ名とパスワードで認証してからでないと、ソフトウェア ダウンロード領域にアクセスできません。
解決方法:
このユース ケースを解決する方法
  1. 保護を必要とする Web ポータルを識別し、顧客情報を含むディレクトリを選択します。
  2. ポータルのソフトウェア ダウンロード領域用のリソースを別に作成します。
  3. 登録済みの顧客ロールを作成します。
  4. 別に作成したリソースと登録済みの顧客ロールを関連付けて、アプリケーション セキュリティ ポリシーを作成します。
Web ポータルの識別とユーザ ディレクトリの選択
Web ポータルに対するアプリケーション セキュリティ ポリシーでは、保護するリソースの最上位のロケーション、およびリソースの使用を許可するユーザのディレクトリを指定する必要があります。
sm1252sp1jjp
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
以下の手順に従います。
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
    [Applications]ページが表示されます。
  3. [アプリケーションの作成]をクリックします。
    [アプリケーションの作成]ページが表示されます。
  4. アプリケーションの名前と説明を入力します。以下の例に示すように、その目的または機能を思い出しやすい特徴のある値を入力します。
    • 名前
      Sample Software Company Portal
    • 説明
      ダウンロード エリアを除く、ポータルのすべての部分へのアクセスを許可します。
  5. [コンポーネント]で、コンポーネントの名前を入力し、保護するリソースが含まれるディレクトリを指定します。この Web ポータルのユース ケースでは、以下のサンプルを使用します。
    • コンポーネント名
      ダウンロード
    • エージェント タイプ
      Web エージェント
    • エージェント
      PortalAgent
    • リソース フィルタ
      /downloads
    sm1252sp1jjp
    注:
    メイン コンポーネントを保存した後でのみ、サブコンポーネントが作成されます。
  6. その他の設定はデフォルトのままにします。
  7. [ユーザ ディレクトリ]で、[追加/削除]をクリックします。
    [ユーザ ディレクトリの選択]ページが表示されます。
  8. 関連するユーザが格納されているディレクトリを選択し、右向きの矢印をクリックして、[使用可能なメンバー]列から[メンバーの選択]列にそのディレクトリを移動します。
  9. [OK]をクリックします。
    [一般]タブに戻ります。
  10. [サブミット]をクリックします。
    Web ポータル アプリケーションが識別され、ディレクトリが選択されます。
Web ポータル リソースの作成
リソースの場所とユーザ ディレクトリを指定した後、Web ポータルのサブディレクトリにある保護するリソースを個別に指定する必要があります。
以下の手順に従います。
  1. [リソース]タブをクリックします。
    リソースの一覧が表示されます。
  2. [作成]をクリックします。
    [アプリケーション リソースの作成]ペインが表示されます。
  3. [一般]グループ ボックスのフィールドに値を入力します。以下の例に示すように、その目的または機能を思い出しやすい値を選択します。
    • 名前
      ダウンロード領域
    • 説明
      ソフトウェアのダウンロードは登録済みの顧客に制限されている
    • Resource
      *
  4. [有効なリソース]と保護するリソースが一致していることを確認します。このユース ケースで有効なリソースは以下のとおりです。
    • 有効なリソース
      /downloads/*
    この文字列は、ダウンロード ディレクトリのすべてのリソースを保護することを指定します。
  5. アクション グループ ボックスの Web エージェントのアクション オプション ボタンが選択されていることを確認し、アクション リストで以下の項目をクリックします。
    • Get
    • Post
  6. [OK]をクリックします。
    Web ポータル リソースが作成され、リソース リストに表示されます。
Web ポータル ロールの作成
Web ポータル リソースが指定された後、Web ポータルの登録済みのカスタマのためのロールを作成します。ロールはリソースとユーザ グループを関連付けます。
sm1252sp1jjp
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
以下の手順に従います。
  1. [ロール]タブをクリックします。
  2. [ロールの作成]をクリックします。
  3. [タイプ「ロール」の新規オブジェクトの作成]ボタンが選択されていることを確認し、[OK]をクリックします。
    [ロールの作成]ペインが表示されます。
  4. [一般]グループ ボックスのフィールドに値を入力します。以下の例に示すように、その目的または機能を思い出しやすい値を選択します。
    • 名前
      登録済みの顧客
    • 説明
      ソフトウェア ダウンロードへのアクセスが許可されている登録済みの顧客。
    • ロールは以下に適用されます。
      すべてのユーザ
      注:
      このオプションが設定されると、[ユーザ セットアップ]および[詳細設定]グループ ボックスは適用されず、表示されなくなります。
  5. [OK]をクリックします。
    登録済みの顧客のロールが作成されます。
Web ポータル ポリシーの作成
リソースとロールを作成してから、保護する Web ポータルのリソースを Web ポータルのリソースにアクセスするユーザのロールに関連付けます。これにより、アプリケーションを保護するポリシーが作成されます。
以下の手順に従います。
  1. [ポリシー]タブをクリックします。
  2. ソフトウェアのダウンロード(Software Downloads)行で、「登録済み顧客」のロールを選択します。
    このロールを選択することで、登録済みの顧客のみが Web ポータルのソフトウェア ダウンロード領域にアクセスできることを指定できます。
  3. [サブミット]をクリックします。
    確認の画面が表示されます。Web ポータルのアプリケーション セキュリティ ポリシーが作成されます。
リソースのリストの表示
リソースのリストの表示は、以下のいずれかのラジオ ボタンをクリックして並べ替えることができます。
  • 名前
    リソースを指定したときに設定した名前に従ってリソースを並べ替えます。
    例:
    Software Downloads
  • フィルタ
    保護されている実際のリソースに従ってリソースを並べ替えます。
    例:
    * (アスタリスクはすべてのリソースを示します。)
ロールに基づくアプリケーション セキュリティ ポリシー
このユース ケースの金融サービス会社(acme-financial.com)では、手当と実績を管理する人事アプリケーションが使われています。このアプリケーションの手当の部分には、すべての従業員がアクセスでき、実績管理の部分へのアクセスは管理者にのみ許可されます。
以下の手順では、EPM モデルとアプリケーション ロールを組み合わせて人事アプリケーション用のセキュリティ ポリシーを作成する方法を詳しく示します。
例:
  • 環境には、AcmeLDAP という名前の 1 つのユーザ LDAP ディレクトリがあります。
  • ユーザ ディレクトリは、すべての従業員、および管理者でもある従業員を識別します。これらについては、ディレクトリで以下のように定義します。
    • group:cn=employees、ou=Groups、o=acme-financial.com
    • group:cn=managers、ou=Groups、o=acme-financial.com
  • 管理者を含むすべての従業員は、基本認証方式で認証する必要があります。
ロールに基づいたアプリケーション セキュリティの解決策は以下のとおりです。
このユース ケースを解決するには、以下の手順を完了します。
  1. アプリケーションを作成します。
  2. ロール基準を満たすユーザを検索するユーザ ディレクトリを選択します。
  3. メイン アプリケーションのサブコンポーネントであるリソースを指定します。
  4. アプリケーションにアクセスできる 2 つのロールを定義します。
  5. リソースとロールをアプリケーション ポリシーに組み合わせます。
保護を必要とするアプリケーションの識別
このユース ケースでは、人事アプリケーションの各部分に別々のアクセス権限を設定します。このためには、メイン アプリケーション下にあるディレクトリを識別して、適切なアクセス権を設定します。
サンプルの人事アプリケーションを保護する方法
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
    [Applications]ページが表示されます。
  3. [アプリケーションの作成]をクリックします。
    [アプリケーションの作成]ページが表示されます。
  4. [一般]タブをクリックします。
  5. [一般]内の以下フィールドに値を入力します。このユース ケースでは、以下のデータを指定します。
    • 名前
      HRアプリケーション
    • 説明
      社内の人事アプリケーションを識別します。
  6. [コンポーネント]内の以下のフィールドに値を入力します。このユース ケースでは、以下のデータを指定します。
    • コンポーネント名
      利点
    • エージェント タイプ
      Web エージェント
    • エージェント
      hrportal agent
    • リソース フィルタ
      /benefits
    • デフォルト リソース保護
      保護
    • 認証方式
      基本
 
sm1252sp1jjp
注:
メイン コンポーネントを保存した後でのみ、サブコンポーネントが作成されます。
  • 保護されているリソースに関連付けられているユーザ ディレクトリを指定します。このディレクトリで はロール基準を満たすユーザを探します。
    1. [追加/削除]をクリックします。
    2. [使用可能なメンバー]ボックスから[Employees]を選択し、右向きの矢印をクリックして、このグループを[メンバーの選択]ボックスに移動します。
    3. [OK]をクリックします。
これで、人事アプリケーションが識別されました。
アプリケーション リソースの指定
保護するメイン アプリケーションのサブ領域を指定したら、アプリケーション ポリシーで保護するそのサブディレクトリ内の特定のリソースを指定できます。
このユース ケースでは、保護するリソースが 2 つあります。
  • 福利厚生管理
  • 勤務評価
メイン アプリケーションの特定のリソースまたは機能を指定する方法
  1. [リソース]タブをクリックします。
  2. [作成]をクリックします。
    [リソース]ペインが開きます。
  3. [一般]グループ ボックスのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    • 名前
      Benefits Management
    • 説明
      従業員が各自の福利厚生を管理できます。
  4. [属性]グループ ボックスの各フィールドに、値を入力します。このユース ケースでは、以下の値を入力します。
    • Resource
      managebenefits.jsp
  5. 手順 2 から 4 を繰り返します。ただし、以下の情報を入力します。
    • 名前
      勤務評価
    • 説明
      マネージャが従業員の評価報告書および給与査定を作成できます。
    • Resource
      salaryincrease.jsp
sm1252sp1jjp
:それぞれの要件および制限など、設定とコントロールの説明を参照するには、[ヘルプ]をクリックします。
これで、勤務評価アプリケーションに関連付けられたリソースが定義されました。
従業員ロールの作成
保護を必要とするアプリケーションの固有コンポーネントを定義した後、特定のリソースへのアクセス権を持つユーザのセットを定義するロールを指定します。すべての従業員のためのロールを作成します。
以下の手順に従います。
  1. [ロール]タブをクリックします。
  2. [ロールの作成]をクリックします。
    [ロールの作成]ペインが表示されます。
  3. [作成]オプションが選択されていることを確認し、[OK]をクリックします。
  4. [一般]グループ ボックスのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    • 名前
      従業員
    • 説明
      Acme Financial Services のすべての従業員
    • ロールは以下に適用されます。
      すべてのユーザ
      注:
      このオプションが設定されると、[ユーザ セットアップ]および[詳細設定]グループ ボックスは適用されず、表示されなくなります。
  5. [OK]をクリックします。
マネージャ ロールの作成
保護を必要とするアプリケーションの固有コンポーネントを定義した後、特定のリソースへのアクセス権を持つユーザのセットを定義するロールを指定します。マネージャ用のロールを作成します。
以下の手順に従います。
  1. [ロール]タブをクリックします。
  2. [作成]をクリックします。
    [ロールの作成]ペインが表示されます。
  3. [作成]オプションが選択されていることを確認し、[OK]をクリックします。
  4. [一般]グループ ボックスのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    • 名前
      マネージャ
    • 説明
      Acme Financial Services のマネージャ
    • ロールは以下に適用されます。
      選択されたユーザ
  5. [選択されたユーザへのロールの適用]オプションが選択されており、[ユーザ セットアップ]および[詳細設定]グループ ボックスが表示されていることを確認します。
  6. [ユーザ セットアップ]グループ ボックスで選択することにより、マネージャ ロールでユーザのセットを定義します。このユース ケースについては、[メンバー グループ]テーブル内の以下のエントリを選択します。
    cn=managers,ou=Groups,o=acme-financial.com
    このエントリは、企業ユーザ ディレクトリ内で管理者のグループを指定します。
  7. [OK]をクリックします。
アプリケーションにデータを渡すレスポンスの使用
Acme Financial Services の従業員が人事アプリケーションを簡単に使えるように、各従業員の手当レコードの従業員 ID を渡すレスポンスを設定できます。
従業員 ID を渡すレスポンスを作成する方法
  1. [アプリケーション]ダイアログ ボックスで[レスポンス]をクリックします。
  2. [レスポンスの作成]をクリックします。
    [レスポンスの作成]ダイアログが表示されます。
  3. フィールドには以下のように入力します。
    • 名前
      従業員 ID
    • 説明
      従業員 ID を一覧表示します。
  4. [レスポンス属性の作成]をクリックします。
    [レスポンス属性の作成]ダイアログが表示されます。
  5. フィールドには以下のように入力します。
    • 属性
      WebAgent-HTTP-Header-Variable
    • 属性の種類
      ユーザ属性
    • 属性フィールド - 変数名
      Personnel_Key
    • 属性フィールド - 変数値
      EmployeeID
  6. 他のすべてのフィールドはデフォルトのままにします。
  7. メインの[レスポンス]タブに戻るまで[OK]をクリックします。
従業員 ID レスポンスが作成されます。従業員が自分の手当情報を表示するとき、このレスポンスから得られたデータが人事アプリケーションに返され、手当レコードにこの従業員の顧客 ID が表示されます。
ロールに基づいたポリシーの確立
リソースとロールを定義したら、これらのオブジェクトをアプリケーション セキュリティ ポリシーにグループ化することができます。
以下の手順に従います。
  1. [ポリシー]タブをクリックします。
    [ポリシー]ペインが開き、設定されたリソースとロールを示すテーブルが表示されます。このテーブルを見れば、どのロールがどのリソースへのアクセスを許可されているかをひとめで把握できます。
  2. 以下の手順を実行します。
    1. すべての従業員に各自の福利厚生を管理することを許可するポリシーを作成するには[Benefits Management]行で[Employees]ロールを選択します。
    2. マネージャのみに勤務評価にアクセスすることを許可するポリシーを作成するには、[Performance Appraisals]行で[Managers]ロールを選択します。
  3. [サブミット]をクリックします。
ロールに基づいて、人事アプリケーション用の 2 つのセキュリティ ポリシーを作成しました。
注:
リソースまたはロールを編集するには、[ポリシー]ペインではなく、各タブで変更を行ってください。
アプリケーションを説明するメタデータを含める
Acme-financial.com は、社内の人事アプリケーションに関する説明情報を必要としています。カスタム属性を使用して、アプリケーションを説明するメタデータを定義できます。
Acme-financial で必要としている情報は、アプリケーションとアプリケーションが完了した日付です。
以下の手順に従います。
  1. [カスタム属性]タブをクリックします。
    [カスタム属性]ダイアログが表示されます。
  2. [作成]をクリックします。
    [名前]と[値]フィールドがあるテーブルが表示されます。
  3. カスタム属性テーブルのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    • 名前
      App_Completed
    • November_22_2007
  4. [作成]をクリックしてテーブルに別の行を追加し、さらに以下の値を入力します。
    • 名前
      目的
    • Human_Resource_Mgmt
  5. [サブミット]をクリックします。
ユーザ マッピングと名前付き式を使用したアプリケーション セキュリティ ポリシー
このユース ケースでは、衣料品小売会社で、顧客がクレジット限度を超えたら Web 上でクレジットによる購入を行えないようにするロールを定義します。この会社のポリシーでは、顧客のクレジット限度を 1,000 ドルとし、従業員のクレジット限度を 2,000 ドルとしています。
属性マッピング、名前付き式(仮想ユーザ属性とユーザ クラス)、およびロールを使用して、企業のクレジット ポリシーに適合するように、アプリケーション セキュリティ ポリシーを作成することができます。
例:
  • 環境に 2 つのユーザ ディレクトリが含まれています。
  • ディレクトリ A には、従業員が格納されます。従業員は顧客になることもあります。そのため、ディレクトリ A では、以下に属する従業員は顧客でもあると識別されます。
    group:cn=Customers,ou=Groups,o=acme.com
  • ディレクトリ B は顧客のみ格納します。ディレクトリ B にユーザを格納するということは、そのユーザが顧客であるという意味なので、ディレクトリ B に顧客を識別するユーザ属性はありません。
解決方法:
  1. 属性マッピングを定義します。
  2. 名前付き式を設定します。
  3. 拡張式内の属性マッピングを使用して、ロールを確立します。
  4. レスポンスを作成して、アプリケーションをさらにカスタマイズします。
  5. アプリケーション セキュリティ ポリシーを作成します。
2 つのユーザ ディレクトリのマッピングの確立
小売会社には 2 つのディレクトリがあります。両方のユーザ ディレクトリで顧客を識別するユニバーサルなスキーマを作成するには、属性マッピングを使用します。属性マッピングは、管理 UI で作成します。
このユース ケースの属性マッピングを作成する方法
  1. ディレクトリ A にはグループ メンバシップ属性を作成します。
    • 属性の名前を
      IsCustomer
      とします。
    • IsCustomer を cn=Customers,ou=Groups,o=acme.com として定義します。
  2. ディレクトリ B には定数属性を作成します。
    • 属性の名前を
      IsCustomer
      とします。
    • IsCustomer を
      "TRUE"
      として定義します。
IsCustomer により、同じユーザ情報の共通のビューが生成されます。式で IsCustomer を参照して、ユーザが顧客かどうかを判別することができます。
属性マッピングを設定する方法の詳細な手順については、「属性マッピングの定義」のセクションを参照してください。
クレジット限度をチェックするための名前付き式の定義
名前付き式を使用して、が各ユーザのクレジット限度と口座残高を計算できるようにします。式では、顧客がクレジット限度を超えているかどうかを判別することもできます。
このユース ケースの名前付き式を定義する方法
  1. 仮想ユーザ属性を定義します。このユーザ属性は、顧客の場合は 1,000 ドルのクレジット限度を計算し、従業員の場合は 2,000 ドルのクレジット限度を計算します。
    • 属性の名前を
      #CreditLimit
      とします。
    • #CreditLimit を以下のように定義します。
      IsCustomer?1000:2000
      この計算には、でサポートされている式構文が含まれています。
  2. 監査データベースから口座残高を取得する仮想ユーザ属性を定義します。
    • 属性の名前を
      #Balance
      とします。
    • この属性を次のように定義します。
      (MyLibrary.GetBalance(""))
      この属性定義は衣類の小売業者によって定義されたアクティブな式です。
  3. 顧客がそれぞれの信用限度を超えているかどうかを判断する、ユーザ クラス式を作成します。
    • 属性に
      @IsUnderCreditLimit
      という名前を付けます。
    • この属性を次のように定義します。
      (#Balance > #CreditLimit)
仮想ユーザ属性およびユーザ クラス式の作成の詳細については、「名前付き式の定義」を参照してください。
オンライン ショッピング アプリケーションの保護
このユース ケースでは、Web ベースのショッピング アプリケーションの特定の条件に従ってアクセス権限を設定します。
Web ベースのショッピング アプリケーションを保護する方法
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
    [Applications]ページが表示されます。
  3. [アプリケーションの作成]をクリックします。
    [アプリケーションの作成]ページが表示されます。
  4. [一般]タブをクリックします。
  5. 以下のフィールドに値を入力します。このユース ケースでは、以下のデータを指定します。
    • 名前
      Online Catalog
    • 説明
      衣料品ストアの Web ベースのショッピング アプリケーションを識別します。
  6. [コンポーネント]内の以下のフィールドに値を入力します。このユース ケースでは、以下のデータを指定します。
    • コンポーネント名
      カタログ
    • エージェント タイプ
      Web エージェント
    • エージェント
      Web 小売エージェント
    • リソース フィルタ
      /webcatalog
    • デフォルト リソース保護
      保護
    • 認証方式
      基本
 
sm1252sp1jjp
注:
メイン コンポーネントを保存した後でのみ、サブコンポーネントが作成されます。
  • 保護されているリソースに関連付けられているユーザ ディレクトリを指定します。このディレクトリで はロール基準を満たすユーザを探します。
    1. [追加/削除]をクリックします。
    2. [使用可能なメンバ]ボックスから[IsCustomer]を選択し、右向きの矢印をクリックして、このグループを[選択されたメンバ]ボックスに挿入します。
      IsCustomers は、衣料品ストアに関連付けられている両方のディレクトリ内のユーザにマッピングされます。
    3. [サブミット]をクリックします。
これで、Online Catalog という名前の新しいアプリケーションが作成されました。
保護を必要とするリソースの指定
このユース ケースでは、クレジット限度を超えたユーザがトランザクションを完了できないようにチェックアウト プロセスを保護します。そのため、以前に作成した Online Catalog アプリケーションにリソースを追加します。
Web ベースのショッピング アプリケーションの特定のリソースを保護する方法
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
    [Applications]ページが表示されます。
  3. 検索条件を指定し、[検索]をクリックします。
    条件に一致するアプリケーションが表示されます。
  4. 変更するアプリケーションの名前をクリックします。このユース ケースでは、[オンライン カタログ]をクリックします。
    [アプリケーションの表示]ページが表示されます。
  5. ページをスクロールダウンして[変更]をクリックします。
    設定とコントロールがアクティブになります。
  6. [リソース]タブを選択します。
  7. [作成]をクリックします。
    [リソースの作成]ページが表示されます。
  8. 以下のフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    • 名前
      Checkout
    • 説明
      購入額を合計して代金を支払うことができます。
  9. [属性]内の以下フィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    • Resource
      total_charges.jsp
  10. [アクション]で[Web エージェント アクション]を選択し、アクション Get および Post を選択します。
  11. [OK]をクリックします。
Checkout というリソースが作成されました。
顧客ロールの設定
Web ポータル リソースが定義された後、クレジット限度を超えない限り顧客が Web ベースの購入ができるアプリケーション ロールを作成します。
sm1252sp1jjp
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
このクレジット ベースのロールを作成する方法
  1. [ロール]タブをクリックします。
  2. [ロールの作成]をクリックします。
    [ロールの作成]ダイアログ ボックスが表示されます。
  3. [作成]オプションが選択されていることを確認し、[OK]をクリックします。
    [ロールの作成]ダイアログ ボックスが開きます。
  4. [一般]グループ ボックスのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    • 名前
      PurchasewithCredit
    • 説明
      顧客がクレジットを使用して購入代金を支払うことを示します。
    • ロールは以下に適用されます。
      選択されたユーザ
  5. [拡張式]グループ ボックスに式を入力します。このユース ケースでは以下を入力します。
    • ユーザの式
      @IsUnderCreditLimit
    ロール式は、#Balance と #CreditLimit の 2 つの仮想ユーザ属性式の積です。これらの式によって、ユーザがクレジット限度を超えているかどうかを計算します。
  6. [OK]をクリックします。
PurchasewithCredit というロールが作成されました。このロールの値は、2 つの名前付き式の組み合わせです。
レスポンスによるアプリケーションのカスタマイズ
さらにパーソナライズされた操作性を顧客に提供するために、衣類小売り業者は信用限度を超えている顧客が信用限度の引き上げを申請できるレスポンスを設定できます。このレスポンスは、信用限度を超えている顧客を限度の引き上げを申請できる借入申込書にリダイレクトします。
レスポンスを作成する方法
  1. [レスポンス]タブをクリックします。
  2. [レスポンスの作成]をクリックします。
    [レスポンスの作成]ダイアログが表示されます。
  3. フィールドには以下のように入力します。
    • 名前
      CreditNotice
    • 説明
      信用限度を超えていることをユーザに警告します。
  4. [レスポンス属性の作成]をクリックします。
    [レスポンス属性の作成]ダイアログが表示されます。
  5. 以下のようにフィールドと設定を完了します。
    • 属性
      WebAgent-OnReject-Redirect
    • 属性の種類
      スタティック
    • 属性フィールド - 変数値
      http://catalog.retailcorp.com/credit_notice.jsp
  6. 他のすべてのフィールドはデフォルトのままにします。
  7. [OK]をクリックします。
CreditNotice という名前のレスポンスが作成され、信用限度を超えている顧客に送信されます。
ショッピング アプリケーションに対するセキュリティ ポリシーの設定
リソース、ロール、およびレスポンスを定義したら、Web ベースのショッピング アプリケーションを保護するポリシーを設定します。
以下の手順に従います。
  1. [ポリシー]タブをクリックします。
    [ポリシー]ダイアログ ボックスが開き、Checkout リソースと PurchaseWithCredit ロールを示すテーブルが表示されます。
  2. Checkout リソースに対して PurchaseWithCredit ロールを選択します。
    この組み合わせにより、クレジット限度を超えていない限り、すべての顧客がストアのクレジット カードを使用して購入することを許可するポリシーが設定されます。さらに、ロールのチェック ボックスをオンにすると、[レスポンス]のグリッドにデータが設定されます。
  3. Checkout リソースに対して CreditNotice レスポンスを選択します。
これで、支出限度を定義するロールに基づくオンライン カタログ アプリケーションのセキュリティ ポリシーが設定されました。さらに、レスポンスがポリシーに関連付けられているので、限度を超えた後も購入を続けている顧客にレスポンスが送信されます。
アプリケーションを説明するメタデータの指定
衣類小売り業者は、オンライン カタログ アプリケーションに関する説明情報を必要としています。カスタム属性を使用して、アプリケーションを説明するメタデータを指定できます。
衣類小売り業者は、このアプリケーションの管理者の電子メール アドレスを記載すると共に、アプリケーションがオンライン カタログ専用であることを説明したいと考えています。
オンライン カタログ アプリケーションのメタデータを指定する方法
  1. [カスタム属性]タブをクリックします。
    [カスタム属性]ダイアログが表示されます。
  2. [作成]をクリックします。
    [名前]と[値]フィールドがあるテーブルが表示されます。
  3. カスタム属性テーブルのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    • 名前
      App_Function
    • online_retail
  4. [作成]をクリックしてテーブルに別の行を追加し、さらに以下の値を入力します。
  5. [サブミット]をクリックします。
アプリケーション セキュリティ ポリシーの作成に関連するすべてのタスクを完了しました。
CA DataMinder コンテンツ分類に基づくアプリケーション セキュリティ ポリシー
このユース ケースでは、金融サービス会社の Forward 社は Microsoft SharePoint を展開しています。会社が行いたいこと
  • 全社員の SharePoint へのアクセス
  • 社員の補償情報が含まれるドキュメントへのアクセス制限 人事の社員のみが、補償情報が含まれるドキュメントにアクセスできます。
注:
Forward, Inc. は架空の会社名であり、厳密に説明のみを目的として使用されています。現存する会社を参照するものではありません。
以下では、CA DataMinder コンテンツ分類を含むアプリケーションを設定して、社員の補償情報を保護するセキュリティ ポリシーを作成する方法について説明します。
例:
  • 環境には 1 つの LDAP ユーザ ディレクトリが含まれます。ディレクトリの名前は ForwardLDAP です。
  • ユーザ ディレクトリは、人事で働く社員を含む、すべての社員を識別します。ユーザ ディレクトリは以下のように人事社員を識別します。
    cn=human resources,o=forwardinc.com
  • すべての従業員は、基本認証方式で認証する必要があります。
  • 一つの SharePoint サイトが展開されます。
    • SharePoint サイトのルート URL は次のとおりです。
      usecase.forwardinc.com/SitePages/Home.aspx
    • 共有ドキュメント ディレクトリの URL は次のとおりです。
      usecase.forwardinc.com/Shared Documents
解決方法:
  1. 共有ドキュメント ディレクトリの保護
  2. すべてのドキュメント リソースの保護
  3. 人事の役割の作成
  4. 人事の役割に基づいたポリシーの確立
共有ドキュメント ディレクトリの保護
このユース ケースでは、保護する SharePoint 環境での最高ポイントは共有ドキュメント ディレクトリです。全社員がアクセスできるかどうかを確かめるために保護されていない SharePoint サイト(usecase.forwardinc.com/SitePages/Home.aspx)を離れます。
以下の手順に従います。
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
  3. [アプリケーションの作成]をクリックします。
  4. [DLP サーバを使用]オプションを選択します。
  5. [一般]セクションに必要な値を入力します。このユース ケースでは、以下のデータを指定します。
    • 名前
      SharePoint サイト
  6. [コンポーネント]セクションに必要な値を入力します。このユース ケースでは、以下のデータを指定します。
    • コンポーネント名
      共有ドキュメント
    • エージェント
      SharePoint
    • リソース フィルタ
      /usecase.forwardinc.com/Shared Documents
  7. [ユーザ ディレクトリ]セクションで、アプリケーション ポリシーに利用可能なユーザ ディレクトリをすべてリスト表示するために[追加/削除]をクリックします。
  8. ユーザ ディレクトリを選択し、[OK]をクリックします。このユース ケースでは、以下のユーザ ディレクトリを指定します。
    ForwardLDAP
  9. [DLP 分類]セクションで、コンポーネントに追加しないコンテンツ分類を削除します。このユース ケースでは、分類の削除は行いません。
  10. [サブミット]をクリックしてアプリケーションを保存します。
すべてのドキュメント リソースの保護
このユース ケースでは、共有ドキュメント ディレクトリ内のすべてのドキュメントを保護します。リソースをアプリケーションに追加することによりすべてのドキュメント リソースを保護します。
以下の手順に従います。
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
  3. 検索条件を指定し、[検索]をクリックします。
  4. 変更するアプリケーションを確認し、[修正]アイコンをクリックします。このユース ケースでは、以下のアプリケーションを修正します。
    SharePoint サイト
  5. [リソース]タブを選択し、[作成]をクリックします。
  6. 以下のフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    • 名前
      すべてのドキュメント
    • Resource
      /*
  7. ルールが起動するのに必要なイベントやアクションのタイプを選択します。このユース ケースでは、以下のイベント タイプを選択します。
    • Web エージェント アクション
    • Connect
    • Delete
    • Get
    • Head
    • Options
    • Post
    • Put
    • Trace
  8. [OK]をクリックしてリソースを保存します。
  9. [サブミット]をクリックしてコンポーネントにリソースを追加します。
人事の役割の作成
このユース ケースでは、人事の従業員のみが補償情報が含まれるドキュメントにアクセスするロールを作成するとします。
以下の手順に従います。
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
  3. 検索条件を指定し、[検索]をクリックします。
  4. 変更するアプリケーションを確認し、[修正]アイコンをクリックします。このユース ケースでは、以下のアプリケーションを修正します。
    SharePoint サイト
  5. [ロール]タブを選択し、[ロールの作成]をクリックします。
  6. 以下のオプションを選択します。
    タイプ ロールのオブジェクトを作成します。
  7. [OK]をクリックします。
  8. [一般]セクションに値を入力します。このユース ケースでは、以下の値を入力します。
    • 名前
      人事
    • 説明
      従業員の補償情報が含まれるドキュメントへのアクセスがあるロールです。
  9. ロールを利用可能なディレクトリのすべてまたは特定のユーザに適用するかどうかを指定します。このユース ケースでは以下のオプションを選択します。
    選択されたユーザ
  10. [ユーザ セットアップ]セクションでロール メンバを定義します。このユース ケースでは、[メンバー グループ]セクションの以下の組織を選択します。
    cn= 人事、o=forwardinc.com
  11. [DLP 分類]セクションでロールへのコンテンツ分類を追加します。このユース ケースでは、以下の値を選択します。
    • 米国従業員補償情報
    • 英国従業員補償情報
  12. [OK]をクリックしてロールを保存します。
  13. [サブミット]をクリックしてアプリケーションへロールを追加します。
人事の役割に基づいたポリシーの確立
このユース ケースでは、社員の補償情報が含まれるドキュメントを保護するポリシーを作成します。
以下の手順に従います。
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
  3. 検索条件を指定し、[検索]をクリックします。
  4. 変更するアプリケーションを確認し、[修正]アイコンをクリックします。このユース ケースでは、以下のアプリケーションを修正します。
    SharePoint サイト
  5. [ポリシー]タブを選択します。
  6. すべてのドキュメント リソースに対して人事の役割を選択します。
  7. [サブミット]をクリックします。
    人事社員にのみ社員の補償情報が含まれる SharePoint ドキュメントへのアクセスを許すポリシーが作成されます。