許可イベント アクションのルールの設定

ユーザが認証されると、許可イベントが発生します。許可のルールを設定すると、 はリクエストされたリソースに対してユーザが許可されているかどうかに基づいてレスポンスを呼び出すことができます。各自の権限に基づいてユーザにアクセス権が付与または拒否されたときには、その状況に応じたイベントが発生します。
casso11jp
ユーザが認証されると、許可イベントが発生します。許可のルールを設定すると、
Single Sign-On
はリクエストされたリソースに対してユーザが許可されているかどうかに基づいてレスポンスを呼び出すことができます。各自の権限に基づいてユーザにアクセス権が付与または拒否されたときには、その状況に応じたイベントが発生します。
ルールを作成するレルムは、許可イベントを処理可能である必要があります。[許可イベントの処理]オプションが選択されていることを確認します。
  1. ルールが保護するリソースを入力します。
    [有効なリソース]が更新され、このリソースが含まれます。
  2. 許可イベントを選択します。
    [アクション リスト]に許可イベントが投入されます。
    : [アクセス許可]オプションおよび[アクセス拒否]オプションは無効になります。これらのオプションは、許可イベントには適用されません。
  3. 1 つ以上の認可イベントを選択します。
  4. (オプション)[詳細]で、時間制限、アクティブなルールまたは両方を設定します。
  5. [サブミット]をクリックします。
    ルールは保存され、指定されたレルムおよびリソースに適用されます。
OnAccessReject ルールのポリシーに関する考慮事項
casso11jp
OnAccessReject イベントを含むグローバルなルールを作成する場合は、ポリシー サーバがグローバルなポリシーを処理する方法と、OnAccessReject ルールによって生じる特別な状況を検討してください。
GET/POST ルールと同じポリシーに OnAccessReject ルールを含めると、OnAccessReject ルールは起動しません。ユーザの認証時に、
Single Sign-On
はユーザの ID を解決します。したがって、OnAccessReject ルールと GET/POST ルールが同じポリシー内にあると、リソースへのアクセスが許可されるべきユーザと、OnAccessReject イベントにリダイレクトされるべきユーザが同一になります。ユーザはアクセスを許可されるので、拒否イベントが適用されることはないからです。
この矛盾を解消するには、OnAccessReject ルール用の別のポリシーを作成し、このルールを適用するユーザを指定します。このポリシーには他のイベント ルールを含めることもできます。
たとえば、LDAP ユーザディレクトリで、User1 にはリソースへのアクセスを許可し、グループ、ou=People、o=company.com のそれ以外のユーザはすべて OnAccessReject ページにリダイレクトするように設定するとします。この場合には、次の 2 つのポリシーを作成する必要があります。
  • Policy1
    このポリシーには、User1 のアクセスを許可する GET/POST ルールを含めます。
  • Policy2
    OnAccessReject ルールとリダイレクト レスポンスを含めて、グループ ou=People、o=company.com を指定します。
User1 は許可されているため、User1 がリソースにアクセスしても OnAccessReject ルールは起動しません。ただし、グループ、ou=People、o=company.com に含まれる他のすべてのユーザについては、リソースにアクセスしようとすると、OnAccessReject ルールが起動します。これらのユーザにはリソースへのアクセスが許可されていないからです。