グローバル ポリシー

目次
casso11jp
目次
2
標準ポリシーは、1 つのポリシー ドメインのコンテキストで作成されます。大規模な本番環境では何千ものドメインが存在することがあります。このような環境では、多数のドメインに共通する動作のタイプを定義しておくと便利です。この動作はポリシーで表します。標準のポリシーを使用すると、同じ動作が必要なドメインごとに同じポリシーを作成する必要があります。グローバル ポリシーを使用すれば、すべてのドメインで適用されるポリシー (および関連するルールとレスポンス) をシステム レベル オブジェクトとして設定することができます。
グローバルポリシーの説明では、次のような用語を使用します。
  • アクセス ルール
    アクセス ルールは、リソースへのアクセスを許可または拒否します。グローバル ポリシーにはアクセス ルールは含まれません。グローバル ポリシーに追加されるのは、イベント ルールだけです。
  • イベント ルール
    イベント ルールは、認証イベントまたは許可イベントが発生すると、起動します。すべてのドメインにわたって共通に実行される動作には、イベント ルールを関連付けて、グローバル ポリシーに含めることができます。
  • グローバル ポリシー
    システム オブジェクトとして定義されるポリシー。
  • グローバル ルール
    システム オブジェクトとして定義されるルール。
  • グローバル レスポンス
    システム オブジェクトとして定義されるレスポンス。
  • ポリシー リンク
    ポリシー定義に使用される論理的なエンティティ。このエンティティは、ルールとレスポンスのペアで構成されます。1 つのポリシーには、1 つまたは複数のポリシー リンクを含めることができます。
グローバル ポリシー オブジェクトの特性
ここでは、標準の(非グローバル)ポリシー オブジェクトとの類似点および相違点を比較しながら、グローバル ポリシー オブジェクトの特性について概説します。
  • 標準レスポンスと比較したグローバル レスポンス
    相違点
    • システムレベルで定義される。グローバル レスポンスを定義できるのは、システム レベルの管理者のみです。
    • これらのレスポンスでは、変数ベースの属性を使用できない。
    • 任意のグローバル固有またはドメイン固有のポリシーに使用される。
    • 特定のエージェント タイプに関連付けられている。
    • これらのレスポンスは、レスポンス グループに追加できない。グローバル レスポンス グループは禁止されている。
    類似点
    • これらのレスポンスでは、アクティブな式を使用できる。
    • レスポンスは特定のポリシーに指定されている場合にのみ返される。
  • 標準ルールと比較したグローバル ルール
    相違点
    • システムレベルで定義される。グローバル ルールを定義できるのは、システム レベルの管理者のみです。
    • グローバル ルールのフィルタは、特定のレルムにバインドされない。グローバル ルールのフィルタは絶対フィルタです。正規表現を使用できる。
    • 特定のエージェントまたはエージェント グループにバインドされる。エージェントはルールの作成時に明示的に指定します。
    • Single Sign-On
      エージェントにのみ使用可能です。RADIUS エージェントは、認証および許可イベントをサポートしていないため、グローバル ルールに関連付けることはできません。
    • 認証イベントまたは許可イベントについてのみ定義される。
    • グループ ポリシーでのみ使用される。
    • これらのルールは、ルール グループに追加できない。グローバル ルール グループは存在しません。
    • これらのルールは、グローバル ポリシー処理が有効になっている、どのドメインのリソースに対しても起動できる。
  • 標準ポリシーと比較したグローバル ポリシー
    相違点
    • システムレベルで定義される。グローバルポリシーを定義できるのは、システムレベルの管理者のみです。
    • すべてのユーザにバインドされる。特定のユーザを指定してグローバル ポリシーに追加したり、除外したりすることはできません。
      注:
      グローバル ポリシー処理は、個々のドメインで明示的に有効または無効にすることができます。
    • 定義には、グローバル ルール、グローバル レスポンス、およびこれらのグローバル オブジェクトのグループのみが使用される。
    • これらのポリシーでは、変数ベースの属性や変数式を使用できない。
    • これらのポリシーには、許可/拒否アクセス ルールを含めることができない。グローバル ポリシーでは、イベント ルールのみを使用できます。
    • これらのポリシーでは、特定のリソース/レルムを指定してグローバル ポリシーに追加したり、グローバル ポリシーから除外したりすることはできない。これらのグローバル ポリシーは、ドメイン上で、そのポリシーに定義されたルール フィルタの少なくとも 1 つに適合するすべてのリソースに対して適用されます。
    • Java Policy Management API ではサポートされない。
    類似点
    • これらのポリシーでは、アクティブな式を使用できる。
    • 特定のエージェントに関連付けられる。ただし、同じタイプのすべてのエージェントで構成されるグループを作成し、このグループにグローバル ルールをバインドすることは可能です。
グローバル ポリシーの処理時には、起動したグローバル ルールに定義されたレスポンスが他のレスポンスのリストに追加されます。グローバル ルールは次の条件が満たされたときに起動します。
アクセス対象のリソースがグローバル ルールに定義された絶対リソース フィルタに適合する。
  • 発生したイベントがグローバルルールに定義されている。
  • ルールに対して指定されている同じエージェント/エージェント グループにより、リソースが保護される。
  • アクセス対象のリソース/レルムが、グローバルポリシー処理が有効に設定されているドメインに属している。
重要:
以下の条件が満たされる場合、標準ポリシーはグローバル ポリシーよりも優先されます。
グローバル ポリシー処理がドメインに対して有効である。
  • 標準ルールとグローバル ルールの両方が、同じエージェントまたはグループにバインドされている。
CA Single Sign-on
グローバル ポリシーの概念
本製品では、ポリシーベースのアクセス制御モデルを使用します。ポリシーは、特定のリソースに対してユーザに与えられるアクセスのタイプと、ユーザがそのリソースにアクセスしたときに実行される処理を定義します。標準ポリシーはそれぞれ、一連のユーザと一連のリソースを結び付けています。ポリシーは、ユーザ、ルール、およびレスポンスを結び付けることで、リソースを保護するように設計されています。各ポリシーでは、そのポリシーが適用されるユーザまたはユーザのグループが指定されている必要があります。ユーザをポリシーに追加したり、ポリシーから除外したりできます。
標準ポリシーには少なくとも 1 つのルールまたはルール グループを指定する必要があります。ルールにより、保護するリソースとルールを起動するアクションの種類が決まります。ルールでは、文字列ベースの
リソース フィルタ
アクション
の組み合わせで、ポリシーに含まれる 1 つまたは複数のリソースが識別されます。これに対し、フィルタは、
レルム フィルタ
ルール フィルタ
で構成されます。
ポリシー オブジェクトには、システム レベルとドメイン レベルの 2 つのタイプがあります。標準(非グローバル)ポリシーでは、すべてのポリシー オブジェクトを特定のドメインのコンテキストで作成する必要があります。ただし、グローバル ポリシーは、システム レベルのポリシーであるため、本製品の環境内のすべてのドメインにわたって適用できます。システムレベル権限を持つ管理者は、グローバルポリシーを定義できます。これには、グローバルルールとグローバルレスポンスも含まれます。これらのグローバル ポリシーは、どのドメインのどのリソースにも適用できます。
グローバル オブジェクトは、標準のドメイン固有オブジェクトと似ています。グローバル ポリシー定義でのグローバル オブジェクトの役割は、ドメイン固有のポリシー オブジェクトとは異なりなります。ただし、グローバルドメインオブジェクトやグローバルレルムオブジェクトというものはありません。
グローバル ポリシー処理
以下の条件が満たされた場合には、グローバル ポリシーに追加されたグローバル ルールが起動します。
  • 要求されたリソースが、グローバル ポリシー処理が有効に設定されているドメインに属している。
  • 要求されたリソースがグローバル ルールに定義された絶対リソース フィルタに適合する。グローバル ルールのフィルタは、(レルムからではなく)ルールから取得されます。
  • グローバル ルールに定義されたイベントと同じイベントが発生する。
  • 同じエージェントまたはエージェント グループが、要求されたリソースを保護しており、これがルールに対して指定されている。
認証イベントまたは許可イベントが発生するたびに、起動したグローバルルールに定義されたレスポンスが他のレスポンスのリストに追加されます。