eTelligent ルール
目次
casso11jp
目次
2
eTelligent ルールを使用して、非常に詳細なアクセス制御基準を有効にする変数を定義します。これを、ポリシー式といいます。
ポリシー式は、ポリシー属性として実装されます。ポリシー式には、演算子とユーザ定義の変数が含まれます。これらの演算子と変数は、実行時、つまりユーザが Web サイト上の保護されたリソースへのアクセスを試みたときに評価されます。
変数には、社内にあるローカル情報だけでなく、Web サービスが提供するリモート情報も格納できます。
eTelligent ルールで提供される変数は、管理 UI で使用することができます。変数オブジェクトを定義し、ポリシー式を使用してポリシー ロジックにそれらを組み込むことができます。また、変数は
Single Sign-On
レスポンス オブジェクトに組み込むこともできます。eTelligent ルールのコンポーネント要件
eTelligent ルールを使用するには、以下のコンポーネントが必要です。
- Web エージェント
- (オプション)Web エージェント オプション パックWeb エージェント オプション パックは、POST 変数を使用する予定の場合のみ必要です。
eTelligent ルールのメリット
eTelligent ルールには、以下のメリットがあります。
- 複雑さが軽減され、カスタム コードを作成する必要がなくなります。Single Sign-On管理者は、アプリケーション コードではなくグラフィカル ツールを使用して、ポリシー式で許可アクセスを定義します。バックエンド ビジネス アプリケーションのアクセス制御情報はSingle Sign-Onポリシー サーバで一元管理されるため、統合および調整する必要がありません。
- セキュリティ ポリシーでビジネス データを動的に使用できます。リソースを保護するためのアクセス制御は、ローカル ユーザ情報と、発注金額などのユーザ入力情報に基づいて定義されます。
- 許可を決定するために、さまざまなタイプの情報を組み合わせることができます。Web ブラウザのフォーム データや、ユーザ コンテキス ト データ(ポリシー サーバにローカルに格納)、およびリモート データ(サービス機関を介して取得)を、ポリシー式で柔軟に組み合わせることができます。
- トランザクションの決定をオンラインで行うことができます。保護されたリソースにアクセスするための許可が必要になるたびに、バックエンド ビジネス アプリケーションに戻る必要がありません。
- XML ベースのサードパーティ セキュリティ データを利用できます。eTelligent ルールでは、信頼できるサービス機関との通信に標準の XML プロトコルを使用するため、Web サービス プロバイダの選択肢が広がります。
- ブール ロジックを使用できます。Single Sign-Onセキュリティ管理者は、変数と論理演算子を組み合わせて使用して、ポリシー式を定義します。
- 必要なポリシーの数を最小限に抑えます。ロジックに基づいたポリシー式を使用することにより、必要なポリシーが少なくなり、ポリシー管理の負担が最小限に抑えられます。
eTelligent ルールの設定方法
eTelligent ルールを設定するには、以下の手順に従います。
- 以下の eTelligent ルールのプロパティ ファイルを設定します。
- JVMOptions.txt
- LoggerConfig.properties
- 変数を設定します。
- eTelligent ルールの変数を使用するポリシー式を設定します。
eTelligent ルールのプロパティ ファイル
eTelligent ルールにおいて必要なプロパティ ファイルは、以下のとおりです。
- JVMOptions.txtこのファイルは、eTelligent ルールの JVM の設定に必要です。ファイルは以下の場所にインストールされます。policy_server_home/config/
- LoggerConfig.propertiesこのファイルは、eTelligent ルールのロギングの設定に必要です。ファイルは以下の場所にインストールされます。policy_server_home/config/properties
JVMOptions.txt ファイル
JVMOptions.txt ファイルには、ポリシー サーバが Java 仮想マシンを作成するときに使用する設定が含まれています。Java 仮想マシンは、eTelligent ルールのサポートに使用されます。
必要なクラスが欠落しているというエラーが表示された場合には、JVMOptions.txt ファイルの classpath 命令文を変更できます。JVMOptions.txt ファイルに含まれる設定の詳細については、Java のマニュアルを参照してください。
LoggerConfig.properties ファイルの変更
ポリシー サーバでは、LoggerConfig.properties ファイルを使用して、コマンドラインから
CA Single Sign-on
サービスを起動するときに使用されるログ機能を指定することができます。ポリシー サーバ管理コンソールから SiteMinder サービスを起動した場合には、このファイルに含まれるプロパティは使用されません。デバッグ目的としてより多くの出力を取得するには、このファイルを変更します。LoggerConfig.properties ファイルの例を、以下に示します。
text// LoggingOn can be Y, N LoggingOn=Y // LogLevel can be one of LOG_LEVEL_NONE, LOG_LEVEL_ERROR, LOG_LEVEL_INFO, LOG_LEVEL_TRACE LogLevel=LOG_LEVEL_TRACE // If LogFileName is set Log output will go to the file named LogFileName=affwebserv.log // AppendLog can be Y, N. Y means append output to LogFileName if specified AppendLog=Y // AlwaysWriteToSystemStreams can be Y, N. // Y means log messages are written to System.out // or System.err regardless of what the logger streams are // set to. If the logger streams are set to System.out // or System.err log messages will be written multiple times. // This facilitates logging messages to System.out/System.err // and a file simultaneously. AlwaysWriteToSystemStreams=N // DateFormatPattern can be any valid input to java.text.DateFormat constructor. // See the Java documentation for java.text.DateFormat for details // If not specified, the default format for the default locale is used DateFormatPattern=MMMM d, yyyy h:mm:ss.S a
このファイルの設定は次のとおりです。
- LoggingOnログ機能を有効または無効に設定します。ログ機能を有効にするには、このパラメータを Y に設定します。ログ機能を無効にするには、このパラメータを N に設定します。
- LogLevelこのログに記録される詳細度を指定します。LogLevel には、以下のいずれかの値を指定できます。
- LOG_LEVEL_NONEメッセージはログに記録されません。
- LOG_LEVEL_ERRORエラーメッセージのみが記録されます。
- LOG_LEVEL_INFOエラーメッセージと警告が記録されます。
- LOG_LEVEL_TRACEエラー メッセージと警告に加え、問題を追跡する場合に有用な全般的な処理情報も記録されます。
- LogFileNameLogFileName を設定すると、このパラメータで指定されたファイルにすべてのログ出力が送られます。
- AppendLog起動時に既存のファイルにログ情報を追加するか、新しいファイルを作成するかを指定します。LogFileName パラメータで指定されたファイルに出力を追加するには、このパラメータを Y に設定します。起動時に新しいファイルを作成するには、このパラメータを N に設定します。
- AlwaysWriteToSystemStreamsロガー ストリームの設定にかかわらず、System.out または System.err にメッセージを記録するには、このパラメータを Y に設定します。ロガー ストリームが System.out または System.err に設定されている場合、ログ メッセージは複数回書き込まれます。これにより、System.out/System.err とファイルにメッセージを同時に記録できます。
- DateFormatPatternDateFormatPattern には、java.text.DateFormat コンストラクタへの有効な入力をどれでも指定できます。詳細については、Java のマニュアルの java.text.DateFormat を参照してください。指定がないと、デフォルトロケールのデフォルトフォーマットが使用されます。