グローバル ポリシーを設定する方法

目次
casso11jp
目次
2
重要:
グローバル ポリシーとドメイン固有ポリシーを設定して同じリソースに適用することができます。たとえば、アクセス制御用のドメイン固有ポリシーと、標準のレスポンス セットを指定するグローバル ポリシーを設定できます。ただし、グローバル ポリシーが機能するためには、ドメイン固有ポリシーに含まれているレルムでイベント処理が許可されるように設定する必要があります。
グローバル ルール
グローバル ルールはグローバル ポリシーの一部で、グローバル ポリシーの処理をトリガするリソースおよびイベントを定義します。これらのルールは、ドメイン固有ルールとほぼ同じです。グローバル ルールは認証イベントまたは許可イベントに関連付ける必要があります。グローバル許可/拒否アクセス ルールは使用できません。
認証イベント用のグローバル ルール
認証イベントを含むグローバル ルールを使用すると、ユーザがリソースにアクセスするための認証を得たときの動作(On-Auth イベント)を制御できます。
注:
On-Auth イベントの結果はレルム単位で発生します。たとえば、OnAuthAccept ヘッダが設定されているレルム A からユーザがレルム B に移動しても、レルム B にはこのヘッダが設定されていないので、ヘッダを使用できません。ユーザがレルム A に戻ると、このヘッダは再度設定されます。
次のリストは、発生する可能性がある On-Auth イベントです。
  • On-Auth-Accept
    認証に成功した場合に発生します。このイベントは、認証が成功した後、ユーザをリダイレクトするときに使用できます。
  • On-Auth-Reject
    On-Auth-Reject ルールを含むポリシーにバインドされたユーザの認証に失敗した場合に発生します。このイベントは、認証が失敗した後、ユーザをリダイレクトするときに使用できます。
    OnAuthAccept イベントと OnAuthReject イベントは、いずれも認証時(ユーザがユーザ名とパスワードを入力したとき)および確認時(ユーザの Cookie が読み込まれたとき)に起動します ただし、認証時にのみ発生する特殊なアクションもあります。
    • レルムタイムアウトの上書き(EnforceRealmTimeouts が使用された場合を除く)。
      EnforceRealmTimeouts オプションをサポートしている Web エージェントを使用していて、そのオプションをオンにしている場合を除き、ユーザのアイドル タイムアウトと最大タイムアウト時間は、そのユーザが最後に認証されたレルムの設定値がそのまま適用されます。これらの値は、ユーザが認証情報を再度入力するまで変わりません。
    • リダイレクト。
      リダイレクトが認証時のみに許可される理由はいくつかありますが、最大の理由は、OnAuth リダイレクトを確認時にも許可すると、リダイレクトが無限ループに入る可能性が非常に高いことです。
    • ユーザ パスワードへのアクセス。
      パスワードは SMSESSION Cookie に保存されないため、ユーザが認証時に実際にパスワードを入力するまでわかりません。
  • On-Auth-Attempt
    本製品がユーザを認識できず、そのユーザを拒否したときに発生します(たとえば、未登録ユーザを、最初にユーザ登録サイトにリダイレクトできます)。
  • On-Auth-Challenge
    カスタム チャレンジ/レスポンス認証方式がアクティブになったときに発生します(トークンコードなど)。
ユーザが認証または拒否されると、該当する On-Auth ルールに関連付けられたグローバルレスポンスが認証を要求してきたエージェントに返されます。
認証イベント用のグローバル ルールの作成
ユーザがリソースへのアクセスを取得するために認証する場合に発生するアクションを制御する認証イベントのグローバル ルールを作成できます。
casso11jp
以下の手順に従います。
  1. [ポリシー]-[グローバル]をクリックします。
  2. [グローバル ルール]をクリックします。
  3. [グローバル ルールの作成]をクリックします。
  4. グローバル ルール名を入力します。
  5. [レルムとリソース]内で、エージェントとリソース設定を指定します。
    注:
    同じリソースに関連するドメイン固有ルールと共にエージェント グループを指定した場合は、システムのパフォーマンスが低下する場合があります。ドメインに固有のルールでは、グローバル ルールによって生成されたレスポンスが複製されることを考慮してください。ポリシー サーバが、重複するレスポンスを自動的に削除してから、要求元のエージェントに情報を渡すため、エージェントにはレスポンスが 1 つだけ返されます。
  1. 認証イベントを選択します。
  2. [アクション]リストから On-Auth イベントを 1 つ選択します。
  3. [サブミット]をクリックします。
    グローバル ルールが保存されます。
許可イベント用のグローバル ルール
Single Sign-On
許可イベントを含むグローバル ルールを使用すると、要求したリソースに対する許可をユーザが得ているかどうかに基づいて、
Single Sign-On
はレスポンスを呼び出すことができます。リソースを保護するルールに On-Access イベントがある場合、許可イベントはユーザが認証されたあとに発生します。各自の権限に基づいてユーザにアクセス権が付与または拒否されたときには、その状況に応じたイベントが発生します。
次のリストは、発生する可能性がある On-Access イベントです。
  • On-Access-Accept
    ユーザが許可された場合に発生します。このイベントは、リソースへのアクセスを許可されたユーザをリダイレクトすることができます。
  • On-Access-Reject
    ユーザが許可されなかった場合に発生します。このイベントを使用して、リソースへのアクセスが許可されなかったユーザをリダイレクトすることができます。
ユーザが許可または拒否されると、該当する On-Access ルールに関連するレスポンスが許可を要求してきたエージェントに返されます。
OnAccessReject ルールのポリシーに関する考慮事項
casso11jp
OnAccessReject イベントを含むグローバルなルールを作成する場合は、ポリシー サーバがグローバルなポリシーを処理する方法と、OnAccessReject ルールによって生じる特別な状況を検討してください。
GET/POST ルールと同じポリシーに OnAccessReject ルールを含めると、OnAccessReject ルールは起動しません。ユーザの認証時に、
Single Sign-On
はユーザの ID を解決します。したがって、OnAccessReject ルールと GET/POST ルールが同じポリシー内にあると、リソースへのアクセスが許可されるべきユーザと、OnAccessReject イベントにリダイレクトされるべきユーザが同一になります。ユーザはアクセスを許可されるので、拒否イベントが適用されることはないからです。
この矛盾を解消するには、OnAccessReject ルール用の別のポリシーを作成し、このルールを適用するユーザを指定します。このポリシーには他のイベント ルールを含めることもできます。
たとえば、LDAP ユーザディレクトリで、User1 にはリソースへのアクセスを許可し、グループ、ou=People、o=company.com のそれ以外のユーザはすべて OnAccessReject ページにリダイレクトするように設定するとします。この場合には、次の 2 つのポリシーを作成する必要があります。
  • Policy1
    このポリシーには、User1 のアクセスを許可する GET/POST ルールを含めます。
  • Policy2
    OnAccessReject ルールとリダイレクト レスポンスを含めて、グループ ou=People、o=company.com を指定します。
User1 は許可されているため、User1 がリソースにアクセスしても OnAccessReject ルールは起動しません。ただし、グループ、ou=People、o=company.com に含まれる他のすべてのユーザについては、リソースにアクセスしようとすると、OnAccessReject ルールが起動します。これらのユーザにはリソースへのアクセスが許可されていないからです。
許可イベント用グローバル ルールの作成
ユーザがリソースへのアクセスを取得するために認証する場合に発生するアクションを制御する認証イベントのグローバル ルールを作成します。
casso11jp
以下の手順に従います。
  1. [ポリシー]-[グローバル]をクリックします。
  2. [グローバル ルール]をクリックします。
  3. [グローバル ルールの作成]をクリックします。
  4. グローバル ルール名を入力します。
  5. [レルムとリソース]内で、エージェントとリソース設定を指定します。
    注:
    同じリソースに関連するドメイン固有ルールと共にエージェント グループを指定した場合は、システムのパフォーマンスが低下する場合があります。ドメインに固有のルールでは、グローバル ルールによって生成されたレスポンスが複製されることを考慮してください。ポリシー サーバが、重複するレスポンスを自動的に削除してから、要求元のエージェントに情報を渡すため、エージェントにはレスポンスが 1 つだけ返されます。
  1. 許可イベントを選択します。
  2. [アクション]リストから OnAccess イベントを選択します。
  3. [サブミット]をクリックします。
グローバル ルールの有効と無効
グローバル ルールを有効にすることで、ユーザが指定されたリソースにアクセスすると、必ずルールが起動するようになります。グローバル ルールを無効にすると、ユーザが指定されたリソースにアクセスしたときに、ルールは起動しなくなります。
以下の手順に従います。
  1. グローバル ルールを開きます。
  2. 以下のタスクのいずれかを実行します。
    • [有効] チェック ボックスをオンにして、ルールを有効にします。
    • [有効] チェック ボックスをオフにして、ルールを無効にします。
  3. [サブミット]をクリックします。
    ルールが保存されます。
グローバル ルールへの時間制限の追加
グローバル ポリシーを特定の時間に適用するには、グローバル ポリシーに時間制限を追加します。指定した時間外にユーザがリソースへのアクセスを試みると、ポリシーは適用されません。
以下の手順に従います。
  1. グローバル ポリシーを開きます。
  2. [時間制限]グループ ボックスの「設定」をクリックします。
  3. 開始日および有効期限を指定します。
  4. 毎時間制限テーブルで時間制限を指定します。
    注:
    各チェック ボックスは 1 時間に相当します。チェック ボックスをオンにすると、その時間中にルールが起動します。このルールは、指定したリソースに適用されます。チェック ボックスをオフにすることは、その時間中にルールは起動しないことを意味します。このルールは、指定したリソースに適用されません。
  5. [OK]をクリックします。
アクティブ グローバル ルールの設定
casso11jp
外部のビジネス ロジックに基づいて動的に許可を行うアクティブ ルールを設定します。このときポリシー サーバでは、ユーザ自ら作成する共有ライブラリの関数を呼び出します。この共有ライブラリは許可 API で指定されたインターフェースに適合する必要があります。この API はソフトウェア開発キットで使用できます。
以下の手順に従います。
  1. [アクティブ ルール]グループ ボックスのフィールドに、ライブラリ名、関数名、関数パラメータを指定します。
    アクティブ ルール文字列が[アクティブ ルール]フィールドに表示されます。
  2. [サブミット]をクリックします。
    アクティブ ルールが保存されます。
グローバル ルールの削除
グローバル ルールを削除すると、そのルールを使用するすべてのグローバル ポリシーから、ルールが自動的に削除されます。ただし、グローバルポリシーはシステムから削除されません。ルールを削除した後もグローバル ポリシーが機能するかどうかを確認します。
すべてのグローバル ポリシーには、グローバル ルールが最低でも 1 つは必要です。
グローバル レスポンス オブジェクト
グローバル レスポンスはグローバル ポリシーの一部であり、ユーザに返される属性を定義します。これらの属性は、グローバル ルールで指定されている認証イベントまたは許可イベントをユーザがトリガした後に返されます。
注:
グローバル レスポンスはドメイン ポリシーでも使用できます。グローバルレスポンスが返されるためには、ドメイン固有のポリシーまたはグローバルポリシーに追加する必要があります。ポリシー内で、グローバル レスポンスはドメイン固有レスポンスと同じように処理されます。
グローバル レスポンスの設定
グローバル レスポンスを設定して、関連するグローバル ルールで認証または許可イベントが発生した後に返す属性を定義できます。
以下の手順に従います。
  1. [ポリシー]-[グローバル]をクリックします。
  2. [グローバル レスポンス]をクリックします。
  3. [グローバル レスポンスの作成]をクリックします。
  4. グローバル レスポンスの名前を入力します。
  5. [エージェント タイプ]リストからエージェント タイプを選択します。
  6. [サブミット]をクリックします。
    グローバル レスポンスが保存されます。これで、レスポンスにレスポンス属性を追加できます。
グローバル レスポンスのレスポンス属性
Single Sign-On
では、グローバル レスポンスごとに 1 つ以上のレスポンス属性が含まれています。レスポンス属性によって、ポリシー サーバから
Single Sign-On
エージェントに渡される情報が識別されます。各
Single Sign-On
エージェント タイプでは異なるレスポンス属性を設定できます。
グローバル レスポンス属性のタイプ
Single Sign-On
は、さまざまなタイプのレスポンス属性をサポートしています。レスポンス属性のタイプによって、ポリシー サーバがレスポンス属性の該当する値を見つける場所が決まります。グローバル レスポンスに設定できるレスポンス属性のタイプは、ドメイン固有のレスポンスに設定可能なレスポンス属性のタイプと同じです。
グローバル Web エージェント レスポンス属性の設定
ポリシー サーバが
Single Sign-On
エージェントに渡す各情報を格納するレスポンス属性を設定できます。Web エージェント レスポンス属性は、HTTP ヘッダ変数、cookie 変数、他のリソースへのリダイレクト、テキスト、タイムアウト値をサポートしています。
casso11jp
以下の手順に従います。
  1. [レスポンス属性の作成]をクリックします。
  2. レスポンス属性を選択します。
  3. 属性タイプを選択します。
    [属性フィールド]の詳細は、指定した属性タイプと一致するように更新されます。
  4. [属性フィールド]の詳細を入力します。
    注:
    レスポンスで使用できる自動的に生成された
    Single Sign-On
    ユーザ属性の一覧については、「CA Single Sign-On が生成するユーザ属性」を参照してください。
  5. (オプション)[スクリプト]フィールドで属性を編集します。
    注:
    [詳細]セクションで属性を編集すると、[属性のセットアップ]セクションが閉じます。
  6. [キャッシュ値]または[値の再計算間隔](秒)を 指定します。
    注:
    入力できる最大時間制限は 3600 秒です。
  7. [サブミット]をクリックします。
    レスポンス属性の作成タスクが、処理のためにサブミットされて、[レスポンス]ページの[属性リスト]にレスポンス属性が追加されます。
グローバル ポリシー オブジェクトを設定する方法
グローバル ポリシーの設定では、以下の手順を完了する必要があります。
グローバル ポリシーの作成
グローバル ポリシーを作成して、ユーザがリソースと対話する方法を定義できます。
以下の手順に従います。
  1. [ポリシー]-[グローバル]をクリックします。
  2. [グローバル ポリシー]をクリックします。
  3. [グローバル ポリシーの作成]をクリックします。
  4. グローバル ポリシー名を入力します。
  5. グローバル ルールおよびグローバル レスポンスを追加します。
  6. [サブミット]をクリックします。
グローバル ポリシーへのグローバル ルールの追加
グローバル ルールは、グローバル ポリシーに含まれる特定のリソースを示します。グローバル ポリシーには、少なくとも 1 つのグローバル ルールを追加する必要があります。
以下の手順に従います。
  1. [ルール]タブをクリックします。
    [ルール]グループ ボックスが表示されます。
  2. [ルールの追加]をクリックします。
    [使用可能なルール]ペインが表示され、使用可能なグローバル ルールをリストします。
    注:
    必要とするグローバル ルールが表示されない場合は、[新規ルール]をクリックします。この方法で作成したルールは、グローバル ポリシーに追加されます。
  3. 追加するグローバル ルールを選択し[OK]をクリックします。
    [ルール]グループ ボックスに、選択したルールとルール グループがリストされます。
  4. (オプション)レスポンス、またはレスポンス グループとルールを関連付けます。
グローバル ルールとレスポンスの関連付け
グローバル レスポンスは、ルール起動時に発生するアクションを示します。ルールが起動すると、関連するレスポンスも起動します。
以下の手順に従います。
  1. レスポンスを関連付けるグローバル ルールの[レスポンスの追加]をクリックします。
  2. レスポンス、レスポンス グループ、またはグローバル レスポンスを選択して、[OK]をクリックします。
    注:
    必要なレスポンスが存在しない場合は、新規作成をクリックしてレスポンスを作成します。
グローバル ポリシーの有効と無効
管理 UI では、グローバル ポリシーの有効化と無効化を切り替えることができます。ポリシーを作成すると、デフォルトではポリシーは有効に設定されます。グローバル ルールに指定されたリソースにユーザがアクセスしようとすると、グローバル ポリシーに含まれるグローバル ルールが起動します。
グローバル ポリシーを無効にした場合、ポリシーに含まれるルールは起動しません。
casso11jp
以下の手順に従います。
  1. 管理 UI でポリシーを開きます。
  2. [有効]チェック ボックスをオンまたはオフにします。
    このチェック ボックスをオンにすると、ポリシーは有効になります。このチェック ボックスをオンにすると、ポリシーは無効になります。無効なポリシーは起動しません。
  3. [サブミット]をクリックします。
    ポリシーが保存されます。
グローバル アクティブ ポリシーの設定
アクティブなポリシーを使用して、外部のビジネスロジックに基づく動的な許可を行います。ポリシー サーバがユーザ作成の共有ライブラリの関数を呼び出すと、アクティブなポリシーが許可の決定に追加されます。
この共有ライブラリは、許可 API (ソフトウェア開発キットの別売)で指定されているインターフェースに準拠している必要があります
グローバルポリシーにアクティブなポリシーを設定する手順は、ドメイン固有ポリシーにアクティブなポリシーを設定する手順と同じです。
casso11jp
以下の手順に従います。
  1. グローバル ポリシーを開きます。
  2. [詳細]グループ ボックスで、[アクティブなポリシーの編集]チェック ボックスをオンにします。
    アクティブなポリシーの設定が表示されます。
  3. [ライブラリ名]フィールドに、共有ライブラリの名前を入力します。
  4. 共有ライブラリに、アクティブなポリシーを実装する関数の名前を入力します。
  5. [サブミット]をクリックします。
    ポリシーが保存されます。