ポリシーの設定方法
目次
sm1252sp1jjp
目次
2
注:
ポリシーの作成には、Scripting interface for Perl も利用できます。ポリシーの作成
新規または既存のドメインにポリシーを追加することによって、ポリシーを作成します。ポリシーでは、ユーザとリソースの関係を定義します。
以下の手順に従います。
- [ポリシー]-[ドメイン]をクリックします。
- [ドメイン]をクリックします。
- 変更するドメインの名前をクリックします。
- [変更]をクリックします。
- [ポリシー]タブをクリックします。
- [作成]をクリックします。
- ポリシーの名前および説明を入力します。
- (オプション)必ずユーザの再認証を行いたいリソースをポリシーで保護する場合は、[アイデンティティの検証]チェック ボックスを選択します。たとえば、ある銀行口座から別の銀行口座にお金を振り込む前に、かならずユーザの再認証を行いたい場合は、アイデンティティの検証チェック ボックスをオンにします。振り込みを行う前に再認証が必要になります。セッションがまだ有効な間にマシンを離れても、ユーザはこの設定により保護されます。現在の セッションは影響を受けません。注:この設定を行うには、ポリシー サーバとエージェントで追加の設定が必要です。詳細については、「Scenario: Require Re-Authentication for Sensitive Resources」というタイトルのナレッジ ベース ドキュメントを参照してください。
- [ユーザ]タブをクリックします。
- ポリシーに、ユーザ、ユーザ グループ、またはその両方を追加し、[サブミット]をクリックします。
- [サブミット]をクリックします。ドメインの変更タスクが、処理のためにサブミットされます。
ポリシーにユーザを追加します。
ポリシーに個別のユーザ、ユーザ グループ、または両方を追加し、追加されたユーザとポリシーの間のポリシー バインドを作成できます。保護されたリソースにユーザがアクセスしようとした場合、ポリシーは、ユーザがポリシー バインドの一部であることを確認した後でポリシーに指定されたルールを起動し、ユーザがそのリソースにアクセス可能かどうかを調べます。
以下の手順に従います。
- [ユーザ]ページに移動します。
- ユーザ ディレクトリからポリシーにユーザまたはグループを追加します。各ユーザ ディレクトリ グループ ボックスから、[メンバーの追加]、[エントリの追加]、[すべて追加]を選択できます。ユーザをポリシー追加するのに使用する方法によって、ユーザを追加できるダイアログ ボックスが開きます。注:[メンバーの追加]を選択すると、[ユーザ/グループ]ウィンドウ開きます。個々のユーザは、自動的には表示されません。検索ユーティリティを使用して、ディレクトリの 1 つに含まれる特定のユーザを見つけることができます。右向き矢印(>)またはマイナス記号(-)のクリックにより、ユーザまたはグループをそれぞれ編集または削除できます。
- 好きな方法で個別のユーザ、ユーザ グループ、または両方を選択して[OK]をクリックします。[ユーザ ディレクトリ]ページが再度開き、新しいユーザが表示されます。
ポリシーにユーザをバインドするタスクが完了しました。
ポリシーへのルールの追加
ルールには、ポリシーに含まれる特定のリソースと、ルール起動時のそのリソースへのアクセスの可否が示されています。レスポンスは、ルール起動時に発生するアクションを示します。
注:
ポリシーには、少なくとも 1 つのルールまたはルール グループを追加してください。以下の手順に従います。
- [ポリシー]-[ルール]に移動します。[ルール]ページが開きます。
- [ルールの追加]をクリックします。[使用可能なルール]ウィンドウが開きます。
- ポリシーに追加する個別のルール、ルール グループ、または両方を選択して[OK]をクリックします。[ルール]セクションに、追加されたルールおよびグループが表示されます。
- (オプション)レスポンス、またはレスポンス グループとルールを関連付けます。注:ポリシーからルールまたはルール グループを削除するには、[ルール]セクションでルールの右側のマイナス記号(-)をクリックします。ルールを作成するには、[使用可能なルール]ウィンドウで[New Rule]をクリックします。
レスポンスまたはレスポンス グループへのルールの関連付け
レスポンスまたはレスポンス グループをポリシー内のグループに関連付けられます。ルールが起動すると、関連するレスポンスも起動します。
以下の手順に従います。
- レスポンスを関連付けるルールまたはルール グループの[レスポンスの追加]をクリックします。[使用可能なレスポンス]ウィンドウが開いて、ポリシー ドメインに設定されたレスポンスおよびレスポンス グループを表示します。
- レスポンスまたはレスポンス グループを選択して、[OK]をクリックします。[ルール]グループ ボックス内でレスポンスが開かれ、それぞれのルールに関連付けられます。注:必要なレスポンスが存在しない場合は、新規作成をクリックしてレスポンスを作成します。
グローバル レスポンスへのルールの関連付け
ルールを既存のグローバル レスポンスに関連付けることができます。
以下の手順に従います。
- [ポリシー]-[ルール]に移動します。
- 変更するルールの横にある[レスポンスの追加]ボタンをクリックします。[使用可能なレスポンス]ウィンドウが開きます。注:グローバル レスポンス、レスポンス、およびグループ レスポンスは、この順序で[使用可能なレスポンス]ウィンドウに表示されています。
- グローバル レスポンスを選択して、[OK]をクリックします。[ルール]グループ ボックスがもう一度開きます。選択されたレスポンスがルールに追加されています。
- [サブミット]をクリックします。ポリシーの変更タスクを処理できるよう送信します。
ポリシーへの式の追加
ブール式を作成してポリシーに追加できます。ブール式は変数によって演算し、ポリシーが処理された時点の変数の値が処理の結果に影響します。したがって、ブール式はポリシーの決定に影響を及ぼします。
以下の手順に従います。
- [ポリシー]-[式]をクリックします。
- [編集]をクリックします。
- [条件]グループ ボックスのフィールドに変数名を入力するか、または[変数の検索]をクリックしてドロップダウン リストから演算子を選択し、[追加]をクリックします。[infix 形式]グループボックスに条件が追加されます。注:複数の条件を作成するには、この手順を繰り返します。
- 条件を選択して[Infix 形式]グループ ボックスのボタンをクリックして式を作成します。
- [OK]をクリックします。
- [サブミット]をクリックします。ポリシーの変更タスクを処理できるよう送信します。
ポリシーへの信頼レベルの追加
ポリシーに信頼レベルを追加すると、許可決定に RiskMinder リスク スコア評価の結果を適用できます。アクティブな式の使用は、信頼レベルをポリシーにバインドされたリソース(ルール)のみに制限します。RiskMinder リスク スコアについては、数値が低いほどリスクが少なく、より安全なトランザクションであることを示します。信頼レベルについては、数値が高いほどリスクが少なく、より安全なトランザクションであることを示します。
以下の手順に従います。
- 管理 UI から、[ポリシー]、[ドメイン]、[ドメイン]をクリックします。
- RiskMinder 環境に対して作成したポリシー ドメイン用の[編集]アイコンをクリックします。
- [ポリシー]タブをクリックします。
- [作成]をクリックします。
- [ポリシー]タブをクリックします。
- ポリシーの[編集]アイコンをクリックします。
- [アクティブなポリシー式]領域で以下の手順に従います。
- 以下のライブラリ名を入力します。smriskactiveexpr
- 以下の関数名を入力します。CheckConfidenceLevel
- [関数のパラメータ]フィールドに信頼レベルを入力します。有効な範囲は 1 ~ 1000 です。
- [OK]をクリックします。
- [サブミット]をクリックします。信頼レベルはポリシーにバインドされたリソース(ルール)に適用されます。
CA Identity Manager ロールの追加
が CA Identity Manager と統合されている場合、CA Identity Manager ロールをポリシーで使用できます。ロールにより、ポリシー サーバは CA Identity Manager ロールのメンバであるユーザに対する許可を決定することができます。
以下の手順に従います。
- [ポリシー]-[ユーザ]をクリックします。
- 対象の[IDM 環境]から[ロールの追加]をクリックします。
- 必要なロールを選択し、[OK]をクリックします。
- [サブミット]をクリックします。CA Identity Manager ロールがポリシーに追加されます。
CA Identity Manager ロールの除外
除外された CA Identity Manager ロールのメンバであるユーザが、保護されているリソースにアクセスしようとした場合に、ポリシー サーバが以下を実行します。
- ユーザが除外されたロールのメンバであることを検証する。
- リソースへのアクセスをブロックする。
以下の手順に従います。
- [ポリシー]-[ユーザ]をクリックします。
- [IDM 環境]セクションで除外するロールを見つけます。
- 各ロールについて、[除外]をクリックします。
- [サブミット]をクリックします。CA Identity Manager ロールがポリシーから除外されます。
ユーザまたはグループをポリシーから除外
管理 UI では、ユーザまたはユーザのグループをポリシーから除外できます。この機能を使用すると、ポリシーに指定するユーザグループの規模が大きい場合でも、グループの小さなサブセットをポリシーから簡単に除外できます。
以下の手順に従います。
- [ポリシー]-[ユーザ]をクリックします。
- [ユーザ ディレクトリ]セクションで、以下のいずれかをクリックします。
- メンバの追加
- エントリの追加
- すべて追加
- ステップ 2 でクリックした項目に対応する以下のリストからタスクを選択します。
- [メンバーの追加]をクリックした場合は、[ユーザ/グループ]ウィンドウの中で表示される[現在のメンバ]リストから検索し、希望するユーザまたはグループのチェック ボックスをオンにします。
- [エントリの追加]をクリックした場合は、[ユーザ ディレクトリ検索式エディタ]を使用して、除外する項目を見つける検索式を作成します。
- [すべて追加]をクリックした場合は、[ユーザ ディレクトリ]グループ ボックスにグループ全体が表示されます。手順 5 に進みます。
- [OK]をクリックします。[ユーザ ディレクトリ]ウィンドウがもう一度開いて、選択したユーザまたはグループおよび[除外]ボタンを表示します。
- 選択したユーザまたはグループを除外するには、[除外]をクリックします。[現在のメンバー]リストのユーザまたはグループの右側にチェック マークが表示され、そのユーザまたはグループがポリシーから除外されたことを示します。[除外]ボタンの代わりに[追加]ボタンが表示されます。ポリシーからグループを除外するということは、除外されたグループのメンバー(つまり、除外されたユーザ)でポリシーに含まれるものはすべて、そのポリシーに含まれなくなるということです。たとえば、グループ Employees はあるが、グループ Marketing は除外されているポリシーの場合、Employees グループのメンバーで Marketing グループに属さないものは、すべてそのポリシーに含まれます。
- [サブミット]をクリックします。変更がサブミットされます。ユーザまたはグループがポリシーから除外されます。
ネストされたグループをポリシーに許可
LDAP ユーザ ディレクトリは、別のグループを含むグループを持つことができます。非常に複雑なディレクトリの場合、大量のユーザ情報を組織化する 1 つの方法として、ネストされたグループを階層にします。
各 LDAP ユーザ ディレクトリに対し、ポリシーがネストされたグループを許可するよう指定できます。LDAP ディレクトリ内にネストされたグループを許可すると、ポリシーの処理時に、ディレクトリの各ユーザ グループおよびすべてのサブグループがそれぞれ検索されます。ネストされたグループを許可しない場合は、ディレクトリの各ユーザ グループはされますが、ポリシーの処理時にサブグループは検索できません。
ネストされたグループを LDAP ユーザ ディレクトリを含むポリシーに許可する方法
- [ポリシー]-[ユーザ]をクリックします。[ユーザ ディレクトリ]ページが開きます。このページには、ポリシー ドメインに関連付けられたユーザ ディレクトリに対応するセクションが表示されます。
- ネストされたグループを含む各ユーザ ディレクトリについて[ネストされたグループの許可]チェック ボックスをオンにし、[サブミット]をクリックします。ポリシーの変更タスクを処理できるよう送信します。また、指定された LDAP ユーザ ディレクトリではネストされたグループが許可されます。
[AND ユーザ/グループ]チェック ボックス
[AND ユーザ/グループ]チェック ボックスでは、複数のユーザ グループのメンバであるユーザに許可を制限できるほか、1 つ、または複数のユーザ グループのメンバである特定のユーザに許可を制限できます。ユーザ ディレクトリの個人ユーザおよびユーザ グループをポリシーに追加する際、チェック ボックスの選択によりそれらの間に AND 関係を指定できます。また、チェック ボックスをオフにすることで、それらの間の OR 関係を指定することもできます。
AND 関係を指定し、結果として作成されるポリシーをユーザに適用する場合、そのユーザが許可されるには以下の要件を満たしている必要があります。
- ユーザはポリシーにバインドされている各ユーザ グループのメンバである必要があります。
- ポリシーにバインドされているのが個人ユーザの場合、ユーザはその個人ユーザである必要があります。
注:
ポリシーから除外されたユーザ、またはポリシーから除外されたグループのメンバであるユーザは、許可することができません。例:
User1、Group1、および Group2 がすべてポリシーにバインドされ、AND 関係が指定されているとします。この場合、test_user を許可するには、test_user は User1 であり、かつ Group1 と Group2 のメンバである必要があります。例:
User1、User2、および Group1 がすべてポリシーにバインドされ、AND 関係が指定されているとします。この場合、test_user が User1 と User2 の両方になることはできません。したがって、test_user は許可できません。重要:
ポリシーに 2 人以上の個人ユーザを追加して AND 関係を指定しないでください。1 人のユーザが複数の個人になることは不可能なので、ポリシーは常に失敗します。AND 関係と OR 関係の両方を指定するには、以下のいずれかの設定を選択します。
- 1 つのポリシーと複数のユーザ ディレクトリこの設定では、1 つのポリシーに 2 つ以上のユーザ ディレクトリを使用することができます。1 つのディレクトリ内での個人のユーザとユーザ グループ間の関係は、AND または OR に設定できます。異なる複数のディレクトリ内での個人のユーザとユーザ グループ間の関係は、常に OR です。例:2 つのユーザ ディレクトリと 1 つののポリシーがあります。各ディレクトリには、2 つのユーザ グループがあり、AND 関係が指定されています。Directory1 には Group1 と Group2 があり、Directory2 には Group3 と Group4 があるとします。この場合、test_user を許可するには、test_user は Group1 と Group2 のメンバであるか、Group3 と Group4 のメンバである必要があります。この状況は、以下のように論理的に表すことができます。Directory1(Group1 AND Group2) OR Directory2(Group3 and Group4)ユース ケース:2 つのユーザ ディレクトリと 1 つのポリシーがあります。Directory1 には、Facilities と Human_Resources のユーザ グループがあり、AND 関係が指定されています。Directory2 には、Marketing と Sales のユーザ グループがあり、OR 関係が指定されています。この場合、ユーザを許可するには、ユーザは Facilities と Human_Resources のメンバであるか、Marketing のメンバまたは Sales のメンバである必要があります。この状況は、以下のように論理的に表すことができます。Directory1(Facilities AND Human_Resources) OR Directory2(Marketing OR Sales)
- 複数のポリシーと 1 つのユーザ ディレクトリこの設定では、共有ドメイン内の 2 つ以上のポリシーが、1 つのユーザ ディレクトリへのアクセス権を持ちます。ユーザ ディレクトリ内の個人のユーザとユーザ グループ間の関係は、一方のポリシーで AND に設定し、もう一方のポリシーで OR に設定することができます。共有ドメイン内の異なるポリシー間の関係は、常に OR です。例:2 つのポリシーと 1 つのユーザ ディレクトリがあります。ユーザ ディレクトリには 4 つのユーザ グループがあります。Group1 と Group2 は Policy1 にバインドされ、Group3 と Group4 は Policy2 にバインドされているとします。どちらのポリシーでもユーザ グループ間には AND 関係が指定されています。この場合、test_user は、Policy1 または Policy2 のアプリケーションによって許可することができます。この状況は、以下のように論理的に表すことができます。Policy1(Group1 AND Group2) OR Policy2(Group3 AND Group4)ユース ケース:2 つのポリシーと 1 つのユーザ ディレクトリがあります。ユーザ グループ Human_Resources、Marketing、および Sales は Policy1 にバインドされ、OR 関係が指定されています。ユーザ グループ Facilities と Human_Resources は Policy2 にバインドされ、AND 関係が指定されています。この場合、ユーザを許可するには、ユーザは Human_Resources、Marketing、または Sales のメンバであるか、Facilities と Human_Resources のメンバである必要があります。2 つ目のポリシーは、Human_Resources のメンバでもある Facilities のメンバのみを許可します。この状況は、以下のように論理的に表すことができます。Policy1(Human_Resources OR Marketing OR Sales) OR Policy2(Facilities AND Human_Resources)
ユーザ/グループ間の AND/OR 関係の指定
[AND ユーザ/グループ]チェック ボックスでは、複数のユーザ グループのメンバであるユーザに許可を制限できるほか、1 つ、または複数のユーザ グループのメンバである特定のユーザに許可を制限できます。ユーザ ディレクトリの個人ユーザおよびユーザ グループをポリシーに追加する際、チェック ボックスの選択によりそれらの間に AND 関係を指定できます。また、チェック ボックスの選択を解除すれば OR 関係を指定できます。
AND 関係を指定し、結果として作成されるポリシーをユーザに適用する場合、そのユーザが許可されるには以下の要件を満たしている必要があります。
- ユーザはポリシーにバインドされている各ユーザ グループのメンバである必要があります。
- ポリシーにバインドされているのが個人ユーザの場合、ユーザはその個人ユーザである必要があります。
重要:
ポリシーに 2 人以上の個人ユーザを追加して AND 関係を指定しないでください。1 人のユーザが複数の個人になることは不可能なので、ポリシーは常に失敗します。ユーザと 1 つ以上のユーザ グループ間、または 1 つのユーザ ディレクトリ内の複数のユーザ グループ間に AND 関係を指定する方法
- [ポリシー]-[ユーザ]をクリックします。[ユーザ ディレクトリ]ページが表示され、各ユーザ ディレクトリが別個のセクションに表示されます。
- AND 関係を指定する各ユーザ ディレクトリに対応する[AND ユーザ/グループ]チェック ボックスを選択します。
- [サブミット]をクリックします。タスクは処理のためにサブミットされます。
手動設定によるユーザの追加
ポリシーの[ユーザ/グループ]ダイアログ ボックスの[使用可能なメンバー]リストを使用してポリシーに含めるユーザおよびグループを指定するのに加えて、[手動設定]グループ ボックスでユーザまたは検索文字列を指定することもできます。
以下の手順に従います。
- [ポリシーの変更]に移動します。[検索]ウィンドウが表示されます。
- (オプション)ユーザの検索条件を絞り込むために検索フォームに入力します。
- [検索]をクリックします。ポリシーのリストが表示されます。
- 希望するポリシーの左側のオプション ボタンをクリックし、次に、[選択]をクリックします。[ポリシーの変更:<名前>]ウィンドウが表示されます。
- [ユーザ]をクリックします。ドメインに関連付けられたユーザ ディレクトリが[ユーザ ディレクトリ]グループ ボックスに表示されます。
- ポリシーの[ユーザ/グループ]ダイアログボックスで、以下のいずれかを実行します。
- Active Directory ユーザ ディレクトリについては、以下の設定を指定します。[手動設定]フィールドActive Directory ユーザ ディレクトリ用の検索フィルタを指定します。[エントリの検証]チェック ボックスエントリを Active Directory ユーザ ディレクトリに追加する前に検索フィルタを検証するかどうかを指定します。注:Active Directory 検索フィルタの検証が失敗する場合は、このチェック ボックスをオフにしてください。デフォルト: オン
- LDAP ディレクトリについては、[検索する場所]ドロップダウン リストから、以下の検索タイプのうちの1 つを選択します。DN の確認ディレクトリで DN を見つけます。ユーザの検索ユーザ エントリ内の一致のみを検索します。グループの検索グループ エントリ内の一致のみを検索します。組織の検索組織エントリ内の一致のみを検索します。エントリの検索ユーザ、グループ、および組織エントリの一致のみを検索します。
- Microsoft SQL Server、Oracle、および Windows NT ディレクトリの場合は、[手動設定]フィールドにユーザ名を入力します。注:Microsoft SQL Server と Oracle については、[手動設定]フィールドにユーザ名の代わりに SQL クエリを入力できます。例:SELECT NAME FROM EMPLOYEE WHERE JOB =’MGR’;
ポリシー サーバは、ユーザ ディレクトリの[認証情報と接続]タブの[ユーザ名]フィールドに指定されたデータベース ユーザとしてクエリを実行します。[手動設定]フィールドに入力する SQL 文を作成する前に、ユーザ ディレクトリのデータベース スキーマに関する知識が必要です。たとえば、SmSampleUsers スキーマを使用している場合に特定のユーザを追加するには、SmUser テーブルからユーザを選択します。注:LDAP ディレクトリの場合は、[手動設定]フィールドに「all」と入力して、ポリシーを LDAP ディレクトリ全体にバインドできます。 - 現在のメンバーへの追加を選択します。管理 UI は、[現在のメンバー]リストにユーザまたはクエリを追加します。
- [OK]をクリックし、変更内容を保存して[ポリシーの変更:<名前>]ウィンドウに戻ります。
ポリシー サーバの LDAP 許可パフォーマンスの向上
以下のように、ロールに基づく許可をユーザのロールではなく特定のユーザ レコードに制限することにより、LDAP ユーザ ディレクトリに格納されたユーザに対するポリシー サーバの許可パフォーマンスを向上できます。
ポリシー サーバのパフォーマンスを増強する方法
- [ポリシーの変更]-[ユーザ]に移動します。[ユーザ ディレクトリ]ウィンドウが開きます。このウィンドウには、ポリシー ドメインに関連付けられた各ユーザ ディレクトリに対応するグループ ボックスが含まれています。
- 許可のパフォーマンスを向上させたいディレクトリすでにグループ ボックスに表示されている場合は、ステップ 8 に進みます。
- 希望するディレクトリが表示されない場合は、ディレクトリのグループ ボックスで[メンバーの追加]をクリックします。[ユーザ/グループ]ウィンドウが開いて、選択されたユーザ ディレクトリのユーザおよびグループを表示します。
- ドロップダウン リストから検索タイプを選択します。
- 属性/値ユーザ属性名および値のペアを指定します。
- 式式を指定します。
- [ユーザ/グループ]グループ ボックスの[属性]フィールドおよび[値]フィールドに、許可に必要なユーザ属性名および値を入力します。
- [実行]をクリックしてディレクトリを検索します。ディレクトリのリストが表示されます。
- 追加するディレクトリのチェック ボックスをオンにし、次に、[OK]をクリックします。[ユーザ/グループ]ウィンドウが閉じて、[ユーザ ディレクトリ]ウィンドウが表示されます。選択したディレクトリがグループ ボックスに表示されます。
- ディレクトリの左側の[編集](矢印)アイコンをクリックします。[ユーザ ディレクトリ検索式エディタ]が表示されます。
- [DN の確認]が[検索する場所]ドロップダウン リストに表示されていることを確認してから、[OK]をクリックします。[ユーザ ディレクトリ検索式エディタ]が閉じます。ポリシー サーバの LDAP 検索は現在のユーザのコンテキストでのみ実行され、LDAP サーバのベース DN では実行されません。この最適化は LDAP サーバおよびポリシー サーバの負荷を減少させ、これにより、より迅速な許可レスポンスが可能になります。
ポリシーへの LDAP 式の追加
LDAP ユーザ ディレクトリへの接続を持つポリシー ドメイン内のポリシーに LDAP 検索式をバインドするには、ユーザ ディレクトリ検索式エディタを使用します。検索式は、ユーザプロファイル、グループ プロファイル、および組織プロファイルにある属性に基づいて、ユーザをポリシーに結び付けることができます。
以下の手順に従います。
- [ポリシー]、[ドメイン]、[ポリシーの変更]をクリックします。
- (オプション)ユーザの検索条件を絞り込むために検索フォームに入力します。
- [検索]をクリックします。
- 希望するポリシーの左側のオプション ボタンをクリックし、次に、[選択]をクリックします。
- [ユーザ]タブをクリックします。ドメインに関連付けられたユーザ ディレクトリが[ユーザ ディレクトリ]セクションに表示されます。
- LDAP 検索式を適用するユーザ ディレクトリについて[エントリの追加]をクリックします。
- ユーザ ディレクトリ検索式エディタで、特定のユーザ、グループまたは組織属性をポリシーにバインドする LDAP 式を作成します。
- [OK]をクリックします。ユーザ ディレクトリ テーブルに式が表示されます。
ポリシーの有効化および無効化
デフォルトでは、ポリシーは作成時に有効になります。ポリシーが有効な場合、ルールに指定されたリソースにユーザがアクセスしようとすると、そのポリシーのルールが起動します。
ポリシーを無効にした場合、ポリシーに含まれるルールは起動しますが、いかなるユーザのアクセスも許可しません。また、リソースについては、ポリシーに含まれるルールに指定されたものはすべて保護されます。ポリシーを有効にしない限り、そのポリシーに指定されているルールに関連付けられているリソースにはアクセスできません。ただし、別の有効なポリシーによって、無効なポリシー内のリソースへのアクセスが許可される場合は、有効なポリシーに関連付けられているユーザであれば、無効なポリシー内のリソースにアクセスできます。
sm1252sp1jjp
以下の手順に従います。
- 管理 UI でポリシーを開きます。
- [有効]チェック ボックスをオンまたはオフにします。このチェック ボックスをオンにすると、ポリシーは有効になります。このチェック ボックスをオンにすると、ポリシーは無効になります。無効なポリシーは起動しません。
- [サブミット]をクリックします。ポリシーが保存されます。
ポリシーの詳細オプション
管理 UI でポリシーを設定するときには、以下の高度な機能を使用できます。
- IP アドレス任意の IP アドレスを指定できます。ユーザは、このアドレスを使用してポリシーを起動させる必要があります。
- 時間制限ポリシーが起動する時間の範囲を指定できます。ポリシーに時間制限を追加すると、指定した時間以外はポリシーは無効になります。
- アクティブなポリシーAPI で作成された共有ライブラリで関数コールを起動できます。この関数コールによって、ポリシーを起動するかどうかが決定されます。
ポリシーが使用できる IP アドレス
以下の特定の項目からポリシーのリソースにアクセスするユーザに対してのみ、ポリシーが起動するように制限できます。
- IP アドレス
- ホスト名
- サブネット マスク
- IP アドレスの範囲
たとえば、ポリシーに許可 IP アドレスの範囲を指定した場合は、指定した範囲の IP アドレスからログインしたユーザだけが、保護されたリソースにアクセスできます。
単一 IP アドレスの指定
単一 IP アドレスを指定して、指定した IP アドレスからポリシーのリソースにアクセスするユーザに対してのみ、ポリシーを起動するようにします。
sm1252sp1jjp
以下の手順に従います。
- ポリシーを開きます。
- [IP アドレス]グループ ボックスで[追加]をクリックします。
- [単一ホスト]オプション ボタンを選択します。単一ホストに固有の設定が表示されます。
- IP アドレスを入力し、[OK]をクリックします。[IP アドレス]グループ ボックスに、その IP アドレスが表示されます。注: IP アドレスが不明な場合は、[DNS の検索]をクリックし、完全修飾ホスト名を入力して IP アドレスを検索します。
- [サブミット]をクリックします。ポリシーが保存されます。
ホスト名の指定
ホスト名を指定して、指定したホストからポリシーのリソースにアクセスするユーザに対してのみ、ポリシーを起動するようにします。
sm1252sp1jjp
以下の手順に従います。
- ポリシーを開きます。
- [IP アドレス]グループ ボックスで[追加]をクリックします。
- [ホスト名]オプション ボタンを選択します。ホスト名に固有の設定が表示されます。
- ホスト名を入力し、[OK]をクリックします。ホスト名が[IP アドレス]グループ ボックスに表示されます。
- [サブミット]をクリックします。ポリシーが保存されます。
サブネット マスクの追加
サブネットマスクを指定して、指定したサブネットマスクからポリシーのリソースにアクセスするユーザに対してのみ、ポリシーを起動するようにします。
sm1252sp1jjp
以下の手順に従います。
- ポリシーを開きます。
- [IP アドレス]グループ ボックスで[追加]をクリックします。IP アドレスの設定が表示されます。
- [サブネット マスク]オプション ボタンを選択します。サブネット マスクに固有の設定が表示されます。
- [IP アドレス]フィールドに IP アドレスを入力します。注: IP アドレスが不明な場合は、[DNS の検索]をクリックし、完全修飾ホスト名を入力して IP アドレスを検索します。
- [サブネット マスク]フィールドに、サブネット マスクを入力します。
- [OK]をクリックします。サブネット マスクが[IP アドレス]グループ ボックスに表示されます。
- [サブミット]をクリックします。ポリシーが保存されます。
IP アドレスの範囲の追加
IP アドレスの範囲を指定し、その範囲に含まれる IP アドレスからポリシーのリソースにアクセスしたユーザにアクセスを制限します。
sm1252sp1jjp
以下の手順に従います。
- ポリシーを開きます。
- [IP アドレス]グループ ボックスで[追加]をクリックします。IP アドレスの設定が表示されます。
- [範囲]オプション ボタンを選択します。IP アドレスの範囲に固有の設定が表示されます。
- [最小値]フィールドに、開始 IP アドレスを入力します。注: IP アドレスが不明な場合は、[DNS の検索]をクリックし、完全修飾ホスト名を入力して IP アドレスを検索します。
- [最大値]フィールドに、終了 IP アドレスを入力します。
- [OK]をクリックします。[IP アドレス]グループ ボックスに、IP アドレスの範囲が表示されます。
- [サブミット]をクリックします。ポリシーが保存されます。
ポリシーの時間制限
管理 UI では、ポリシーに時間制限を追加できます。時間制限を追加すると、時間制限が指定した時間の範囲内でのみポリシーが起動します。時間制限で指定していない時間帯にユーザがリソースにアクセスしても、ポリシーは起動しません。
リソースへのアクセスを確保するポリシーの時間制限を作成し、ポリシーが月曜日から金曜日の午前 9 時から午後 5 時のみ起動できると指定するとします。ユーザは、時間制限で示された時間の間のみ認証および許可されます。ポリシーによって保護されるリソースは、指定された時間外には使用できません。
注:
時間制限は、ポリシー サーバがインストールされたサーバのシステム クロックに基づきます。ルールの時間制限とポリシーの時間制限の関係
ポリシーに時間制限があり、かつ時間制限のルールが存在する場合は、両方の制限によって許可される時間にわたってポリシーが起動します。
たとえば、ポリシーの時間制限が午前 9 時から午後 5 時で、ルールの時眼制限が月曜日から金曜日の場合は、月曜日から金曜日の午前 9 時から午後 5 時にのみ、ポリシーが起動します。
ポリシーへの時間制限の追加
ポリシーが特定の時間にのみ起動するように、ポリシーに時間制限を追加します。
sm1252sp1jjp
以下の手順に従います。
- ポリシーを開きます。
- [時間]グループ ボックスで[設定]をクリックします。[時間制限]ペインが表示されます。
- 開始日および有効期限を指定します。
- 毎時間制限テーブルで時間制限を指定します。注: 各チェック ボックスは 1 時間に相当します。チェック ボックスで選択した時間帯は、ルールが起動し、指定されているリソースに適用されます。チェック ボックスで選択していない時間帯は、ルールが起動しないため、指定されているリソースに適用されません。
- [OK]をクリックします。時間制限が保存されます。
アクティブなポリシーの設定
アクティブなポリシーを使用して、外部のビジネスロジックに基づく動的な許可を行います。ポリシー サーバがユーザ作成の共有ライブラリの関数を呼び出すと、アクティブなポリシーが許可の決定に追加されます。
この共有ライブラリは、許可 API(別売のソフトウェア開発キットに付属)で指定されたインタフェースに準拠する必要があります。
sm1252sp1jjp
以下の手順に従います。
- グローバル ポリシーを開きます。
- [詳細]グループ ボックスで、[アクティブなポリシーの編集]チェック ボックスをオンにします。アクティブなポリシーの設定が表示されます。
- [ライブラリ名]フィールドに、共有ライブラリの名前を入力します。
- 共有ライブラリに、アクティブなポリシーを実装する関数の名前を入力します。
- [サブミット]をクリックします。ポリシーが保存されます。