アプリケーション オブジェクトでの Web アプリケーションのセキュリティ ポリシーの定義方法
アプリケーション オブジェクトは、Web アプリケーション(または Web サイト)のための完全なセキュリティ ポリシーを定義する直観的な方法を提供します。アプリケーション オブジェクトは、どのユーザがどのリソースにアクセスできるか決める資格ポリシーを指定するために、リソースとユーザ ロールを関連付けます。
casso11jp
アプリケーション オブジェクトは、Web アプリケーション(または Web サイト)のための完全なセキュリティ ポリシーを定義する直観的な方法を提供します。アプリケーション オブジェクトは、どのユーザがどのリソースにアクセスできるか決める資格ポリシーを指定するために、リソースとユーザ ロールを関連付けます。
2
注:
アプリケーション オブジェクトはポリシー情報を定義します。この情報はポリシー ドメインおよびそのサブオブジェクトでも設定できます。これには、レルム、ルール、ルール グループ、レスポンス、およびポリシーが含まれます。
管理者権限の確認
アプリケーション セキュリティ ポリシーを実装するには、必要な管理権限を持っている必要があります。管理者には、アプリケーション関連の以下の権限を割り当てることができます。
- アプリケーション管理アプリケーション管理権限では、アプリケーションとそのコンポーネントの作成、変更、および削除を行うことができます。
- ポリシー管理ポリシー管理権限では、アプリケーションに関連付けられているリソース、ロール、およびポリシーの定義を行うことができます。
必要な権限がない場合は、
Single Sign-On
のスーパーユーザに問い合わせてください。アプリケーション オブジェクトの作成およびセキュリティ ポリシーの一般プロパティの定義
アプリケーション オブジェクトを作成し、それが定義するセキュリティ ポリシーの以下の一般プロパティを設定します。
- 1 つ以上のコンポーネント: 同様のセキュリティ要件を持った関連するアプリケーション リソースのグループ。通常は、共通の場所に存在するリソース。たとえば、ネットワーク上の /marketing ディレクトリにあるマーケティング情報などです。
- リソースの使用を許可されているユーザの 1 つまたは複数のディレクトリ。
以下の手順に従います。
- 管理 UI にログインします。
- [ポリシー]-[アプリケーション]をクリックします。
- [アプリケーション]をクリックします。
- [アプリケーションの作成]をクリックします。[アプリケーションの作成]ページが表示されます。
- アプリケーションの名前と説明を入力します。
- [コンポーネント]セクションで、同様のセキュリティ要件を持った関連するリソースのグループを 1 つ以上定義します。コンポーネントごとに、以下の手順に従います。
- [コンポーネントの作成]をクリックします。
- コンポーネントの名前を入力します。
- [エージェント/エージェント グループの検索]をクリックします。
- エージェントまたはエージェント グループを選択し、[OK]をクリックします。
- [リソース フィルタ]フィールドに保護するリソースのルート URL を入力します。
- リソースをデフォルトで保護するかどうかを指定します。
- リソースをリクエストするユーザの ID を検証するために使用する認証方式を指定します。
- [ユーザ ディレクトリ]セクションで、以下の手順を実行して、アプリケーション リソースの使用を許可されているユーザの 1 つまたは複数のディレクトリを選択します。
- [追加/削除]をクリックします。
- [使用可能なメンバー]リストから 1 つまたは複数のユーザ ディレクトリを選択し、右向きの矢印をクリックします。[使用可能なメンバー]リストからユーザ ディレクトリが削除され、[メンバーの選択]リストに追加されます。注:一度に複数のメンバを選択するには、Ctrl キーを押しながら追加のメンバをクリックします。メンバを範囲で選択するには最初のメンバをクリックし、その後、Shift キーを押しながら範囲の最後のメンバをクリックします。
- [OK]をクリックします。選択したユーザ ディレクトリは[アプリケーションの作成]ページの[ユーザ ディレクトリ]の下にリスト表示されます。
- [OK]をクリックします。
- [サブミット]をクリックします。アプリケーション オブジェクトが作成されます。
アプリケーション リソースの指定
保護するアプリケーション コンポーネントを定義した後に、保護する各コンポーネント内の特定のリソースを指定します。
以下の手順に従います。
- [アプリケーションの作成]ページで、[リソース]タブをクリックします。
- 複数のコンポーネントを作成した場合、[コンテキスト ルートの選択]ドロップダウン リストから保護するリソースのルート URL ([一般]タブの[リソース フィルタ]で指定)を選択します。
- [作成]をクリックします。
- リソースの名前を入力します。
- 保護するリソースを[リソース]フィールドに入力します。特定のファイルを指定するか、または正規表現を使用して、リソース照合の柔軟性を高めます。[有効なリソース]が更新され、このリソースが含まれます。
- [リソース]フィールドで正規表現を使用した場合は、[正規表現]オプションを設定します。
- [アクション]セクションで、ポリシー サーバにリクエストを処理させるために、指定されたリソースに発生する必要があるアクションのタイプを選択します。[アクション]リストに、選択したアクション タイプに適したアクションが入力されます。
- 1 つ以上のアクションを選択します。
- [OK]をクリックします。リソースが作成されます。
- Web アプリケーション内の各リソースに対して手順 2 ~ 9 を繰り返します。
これで、Web アプリケーション リソースが定義されました。
保護されているリソースにアクセスできるユーザを識別するロールの作成
Web アプリケーション コンポーネントおよびリソースを定義した後に、特定のリソースへのアクセス権がある一連のユーザを定義するロールを指定します。
以下の手順に従います。
- [アプリケーションの作成]ページで、[ロール]タブをクリックします。
- [ロールの作成]をクリックします。
- [タイプ「ロール」の新規オブジェクトの作成](Create new object of type Role)オプションが選択されていることを確認し、[OK]をクリックします。
- 名前を入力し、必要に応じて、ロールの説明を入力します。
- そのロールが、設定されたユーザ ディレクトリ内の[全ユーザ]または[選択されたユーザ]に適用されるかどうかを指定します。注:[全ユーザ]オプションを設定すると、[ユーザ セットアップ]および[詳細]セクションは適用されず、表示されなくなります。
- [ユーザ セットアップ]グループ ボックスで選択することで、ロールのメンバを定義するグループ、組織、およびユーザ属性式を定義します。
- [OK]をクリックします。
- 必要な追加ロールごとに手順 2 ~ 7 を繰り返します。
(オプション)レスポンスの設定による Web アプリケーションのカスタマイズ
レスポンスを設定して、テキスト、ユーザ属性、DN 属性、アクティブ レスポンス、または定義された変数のランタイム値をポリシー サーバからエージェントに渡します。Web アプリケーションは、権限を決定するため、またはきめの細かいアクセス制御のために、レスポンス データを使用してカスタマイズされたコンテンツを表示できます。レスポンス データは、設定を変更するため、またはユーザを別のリソースにリダイレクトするためにも使用できます。
以下の手順に従います。
- [アプリケーションの作成]ページで、[レスポンス]タブをクリックします。
- [レスポンスの作成]をクリックします。
- レスポンスの名前を入力します。
- 1 つ以上のレスポンス属性を作成します。レスポンス属性ごとに、以下の手順に従います。
- [レスポンス属性の作成]をクリックします。
- 設定する属性タイプを選択します。たとえば、WebAgent-HTTP-Header-Variable 属性タイプなどです。
- 属性の種類を選択します。[属性フィールド]の詳細は、指定した属性の種類と一致するように更新されます。
- [属性フィールド]の詳細を入力します。
- (オプション)[スクリプト]フィールドで属性を編集します。注:[詳細]セクションで属性を編集すると、[属性のセットアップ]セクションが閉じます。
- [キャッシュ値](デフォルト)または[値の再計算間隔(秒)]を 指定します。注:入力できる最大時間制限は 3600 秒です。
- [OK]をクリックします。
- [OK]をクリックします。レスポンスが作成されます。
(オプション)レスポンス グループの設定による Web アプリケーションのカスタマイズ
1 つのオブジェクトに複数のレスポンスを結合するには、レスポンス グループを設定します。アプリケーション ポリシーを作成すると、そのポリシー内の 1 つのリソースに複数のレスポンスを簡単に関連付けることができます。
以下の手順に従います。
- [アプリケーションの作成]ページで、[レスポンス]タブをクリックします。
- [レスポンス グループの作成]をクリックします。
- レスポンス グループの名前を入力します。
- [追加/削除]をクリックします。[レスポンス グループのメンバ]ページが表示されます。[使用可能なメンバ]列には、アプリケーション オブジェクトで定義されているすべてのレスポンスとレスポンス グループがリスト表示されます。
- [使用可能なメンバ]リストから 1 つ以上のレスポンスまたはレスポンス グループを選択し、右向きの矢印をクリックします。[使用可能なメンバー]リストからレスポンスが削除され、[メンバーの選択]リストに追加されます。注:一度に複数のメンバを選択するには、Ctrl キーを押しながら追加のメンバをクリックします。メンバを範囲で選択するには最初のメンバをクリックし、その後、Shift キーを押しながら範囲の最後のメンバをクリックします。
- [OK]をクリックします。選択されたレスポンスがレスポンス グループに追加されます。
- [OK]をクリックします。レスポンス グループが作成されます。
ユーザ ロールとリソースを関連付けるポリシーの設定
アプリケーション ポリシーでユーザ ロールとリソースを関連付け、各リソースへのアクセスを許可するユーザを定義します。リソースがアクセスされるときに許可するエージェントにデータを返す場合は、ポリシーでレスポンスとリソースも関連付けます。
以下の手順に従います。
- [アプリケーションの作成]ページで、[ポリシー]タブをクリックします。[ポリシー]タブには 2 つのテーブルが表示されます。1 つにはリソースとロールがリスト表示され、もう 1 つにはリソースとレスポンスがリスト表示されます。
- リソース テーブルで、各リソースと関連付けるロールを選択します。選択されたロールのユーザのみ、それらのリソースへのアクセスが許可されます。
- レスポンス テーブルで、各リソースと関連付けるレスポンスとレスポンス グループを選択します。関連するリソースがアクセスされると、選択したレスポンスで定義されているデータが返されます。注:レスポンスは、ロール/リソース テーブル エントリを選択しないと、レスポンス テーブルにリスト表示されません。
- [サブミット]をクリックします。確認の画面が表示されます。アプリケーション セキュリティ ポリシーが作成されます。
(オプション)詳細なアプリケーション オプションの設定
アプリケーション セキュリティ ポリシーの以下の詳細なオプションも設定できます。
(オプション)カスタム属性の設定によるアプリケーションに関するメタデータの追加
カスタム属性を定義して、アプリケーションに関する一意な識別メタデータを追加できます。メタデータは、アプリケーションを作成した人の名前やアプリケーションの目的などの情報を追加することで、アプリケーションを説明します。
以下の手順に従います。
- [アプリケーションの作成]ページで、[カスタム属性]タブをクリックします。[カスタム属性]タブには、既存のメタデータの名前と値を含むテーブルが表示されます。
- [作成]をクリックします。空白のエントリが[カスタム属性]テーブルに追加されます。
- 追加するメタデータの名前と値を入力します。
- [作成]をクリックします。カスタム属性がテーブルに追加され、新しい空白のエントリが追加されます。
- 追加するカスタム属性ごとに手順 3 と 4 を繰り返します。
アプリケーション内の信頼レベルの設定
Single Sign-On
がサポートされたリスク分析エンジンに統合される場合、信頼レベルはアプリケーション オブジェクトで利用可能です。信頼レベルは、アプリケーションを拡張して、ユーザ認証の一部として完了するリスク評価の結果を含めます。許可決定を下すとき、ポリシー サーバはこれらの結果を使用できます。以下のオブジェクトに信頼レベルを適用できます。
- アプリケーション コンポーネント。アプリケーション コンポーネントで設定する信頼レベルは、コンポーネントと関連付けられるすべてのリソースに適用されます。信頼レベルはデフォルト アプリケーション設定が提供するより高いレベルの精度を表します。アプリケーション コンポーネントの高度な設定を使用して、信頼レベルを適用します。注:アプリケーション コンポーネントに信頼レベルを適用する場合、ユーザが信頼レベル サポートを有効にする必要があります。
- アプリケーション ロール。アプリケーション ロールの一部として設定する信頼レベルによって、より詳細な許可決定が可能になります。信頼レベルは、リソースにアクセスできるユーザ グループまたはグループをさらに定義するために使用できるアクティブなコンポーネントを表します。信頼レベルは、デフォルトのロール メンバシップが提供するより高いレベルの精度を表します。信頼レベルをロールに追加するには、SM_USER_CONFIDENCE_LEVELSingle Sign-Onが生成する属性を参照する名前付きの式を使用します。注:アプリケーション ロールへの信頼レベルの適用は、以前のリリースからサポートされており、デフォルトで有効になります。
アプリケーションでの CA DataMinder コンテンツ分類の設定
Single Sign-On
が CA DataMinder と統合されている場合、コンテンツ分類はアプリケーション オブジェクトと併用できます。コンテンツ分類は、ユーザが要求するコンテンツの種類を含めるためにアプリケーションを拡張します。ポリシー サーバは、CA DataMinder コンテンツ分析の結果を使用して許可の判断を行うことができます。注:
コンテンツ分類をアプリケーション コンポーネントに適用するには、CA DataMinder 統合に対して環境を有効にする必要があります。CA DataMinder コンテンツ分類を以下のオブジェクトに適用できます。
- アプリケーション コンポーネントについては以下のとおりです。
- アプリケーション コンポーネントに適用するコンテンツ分類は、コンポーネントに関連付けられているすべてのリソースに適用されます。
- デフォルトでは、CA DataMinder Content Classification Service は、すべてのコンテンツ分類をアプリケーション コンポーネントに対して使用できるようにします。許可の判断を行うときに、ポリシー サーバに 1 つ以上の分類を無視させる場合は、アプリケーションからそれらを削除します。
- Single Sign-On管理者はコンテンツ分類を管理できません。変更が必要な場合は、CA DataMinder 管理者と変更を調整します。
- アプリケーション ロールについては以下のとおりです。
- アプリケーション ロールに適用するコンテンツ分類によって、より詳細な許可の判断を行うことができます。コンテンツ分類は、リソースにアクセスできる 1 つまたは複数のユーザ グループを詳細に定義するために使用できるアクティブ コンポーネントを表します。コンテンツ分類は、デフォルト ロール メンバシップが提供する、より高い詳細レベルを表します。
- ロールとコンテンツ分類の関係は累積的です。ユーザが同じアプリケーション上の複数のロールのメンバである場合は、ロールに関連付けられているすべてのドキュメントにアクセスできます。
アプリケーションの詳細なポリシー コンポーネントの設定
アプリケーション オブジェクトに用意されている設定オプションを使用することで、以下のタイプのユーザは
Single Sign-On
コンポーネントをデフォルト以外の設定に変更することができます。- r12 より前のリリースのSingle Sign-Onで使用されていたポリシー設計とインターフェースに精通していて、そのポリシーの設定を微調整する必要があるユーザ。
- デフォルトの設定よりもポリシーの詳細レベルを上げる必要があるユーザ。
- アプリケーション オブジェクトを使用して実装されたポリシーが、組織の要件またはその組織が準拠する必要がある規制の要件を満たしているかどうかを判別する必要がある監査者またはその他の担当者。
以下の手順に従います。
- [アプリケーション]をクリックします。
- [アプリケーションの作成]をクリックします。
- [一般]セクションと[コンポーネント]セクションに情報を入力し、[詳細設定]をクリックします。[コンポーネント変更]ページが表示されます。[コンポーネント変更]ページには、ポリシー レルムのセッションおよび詳細機能が含まれます。たとえば、信頼レベル サポートが有効な場合、コンポーネントに最小限の信頼レベルを追加できます。
- 以下のいずれかの手順を実行します。
- コンポーネントに対する 1 つ以上の詳細な設定を設定します。
- レガシー認可ディレクトリ マッピングを選択します。
- サブ コンポーネントを作成するには、[サブ コンポーネントの作成]をクリックし、[コンポーネントの作成]画面を開きます。サブ コンポーネントの作成は、サブ レルムまたはネストされたレルムの作成と同等です。
- 完了後、[OK]をクリックして変更を保存し、アプリケーションの残りの部分の設定を引き続き行ってください。