[ルール]ダイアログ ボックス
casso11jp
HID_rule
[ルール]ダイアログ ボックスでは、ポリシー ルールの作成と編集を行います。
このダイアログ ボックスには以下のセクションが含まれます。
- Generalルールを指定します。
- Nameルールの名前を指定します
- Description(オプション)ルールの説明を指定します。
- 属性 - レルムとリソースレルムとリソースを定義します。
- Resourceルールによって保護されるリソースを指定し、ルールでの正規表現の使用を有効化/無効化します。
- 有効なリソースリソース文字列全体を表示します。有効なリソースとは、ルールによって保護されるリソース パス全体です。有効なリソースは以下で構成されます。
- エージェント。
- 選択したレルムの上に存在する任意の親レルムから連結したリソース フィルタのすべて。
- [レルム]フィールドで指定されたレルムのリソース フィルタ。
- [リソース]フィールドに入力したリソース。
- Realm1 のエージェント = Agent1
- Agent1 の IP アドレス = 123.123.12.12
- Realm1 で使用するリソースフィルタ = /dir
- Rule1 のリソース = /myfile.html
Agent1_web_server/dir/myfile.html です。 - Regular Expressionリソースに、特定のファイルを指定したり、正規表現とのリソース照合を使用した式を入力したりすることができます。
- 属性 - 許可/拒否と有効/無効以下のことを指定できます。
- このルールが適用されるときに、保護されているリソースへのアクセスを許可するか拒否するか。
- ルールを有効にするかどうか。
- アクセスを許可するルールが含まれたポリシーに関連付けられていて、正しく認証されたユーザは、リソースにアクセスできます。
- アクセスを拒否するルールが含まれたポリシーで指定された認証ユーザのアクセスを拒否します。
- Enabled (有効)ルールを有効にします。
- 属性 - アクションルールをトリガする Web エージェント アクションまたはイベントを指定します。[アクション]スクロール リストの選択肢は、Web エージェント アクションまたは認証/認可/インパーソネーション イベントを選択するかどうかに応じて変わります。
- Web エージェント アクション[アクション]リストで選択した HTTP アクションにこのルールを適用することを指定します。CA SiteMinder® Web Services Securityがインストールされている場合は、以下のアクションを選択できます。
- ProcessSOAPSOAP エンベロープでラップされた着信 XML メッセージをサポートします。
- ProcessXML(SOAP エンベロープでラップされていない)生の着信 XML メッセージをサポートします。
- 認証イベント[アクション]リストから選択した認証イベントに対してルールが起動するように指定します。
- OnAuthAcceptユーザ認証が正常に行われたときに発生します。このイベントを使用すると、認証が成功した後にユーザをリダイレクトすることができます。
- OnAuthAcceptCredentialsログインの段階でのみ発生します。ユーザ認証情報が示され、新しいセッションの作成が行われます。
- OnAuthAttemptユーザ名が入力されていないために、ユーザ認証が失敗したときに発生します。
- OnAuthChallengeカスタム認証方式でレスポンスをトリガするために使用されます。
- OnAuthReject。ポリシーにバインドされたユーザの認証に失敗したときに発生します。ルールが起動するためには、ユーザがポリシーに結合されている必要があります。
- OnAuthUserNotFoundアクティブ レスポンスを発行するときにのみ使用します。アクティブ レスポンス以外のレスポンスをトリガするためにはこのイベントを使用しません。
- 許可イベント[アクション]リストから選択した許可イベントに対してルールが起動するように指定します。
- OnAccessAcceptユーザがリソースにアクセスすることをポリシー サーバが許可したときに発生します。
- OnAccessRejectリソースへのアクセス権がないことが理由でポリシー サーバがユーザの要求を拒否したときに発生します。
- インパーソネーション イベント[アクション]リストから選択したインパーソネーション イベントに対してルールが起動するように指定します。
- ImpersonationStart適切なポリシーに含まれている場合に、インパーソネーション セッションを開始できます。
- ImpersonationStartUser適切なポリシーに含まれている場合に、ユーザのセットを偽装できます。
- アクション選択したイベント タイプの各イベントがリスト表示されます。
- 詳細設定時間制限およびアクティブなルール設定を指定します。
- 時間制限ルールが適用される時間間隔を指定します。[設定]をクリックすると、[時間制限]ダイアログ ボックスが表示されます。
- アクティブ ルール
アクティブ ルールとは、API を使用して作成されたカスタム機能です。[Library Name]アクティブ ルールをサポートする共有ライブラリの名前を指定します。ライブラリの名前にパスを指定することができますが、必須ではありません。パスを指定しない場合、ポリシー サーバはシステムのデフォルト パスを使用して、実行時に共有ライブラリを検索します。共有ライブラリ名にファイル拡張子を含めないでください。例: 共有ライブラリは Windows プラットフォーム上にあり、名前は lib.dll で、ディレクトリは \siteminder_home\bin\ です。このライブラリを指定するには、[ライブラリ名]フィールドにlibと入力します。関数名アクティブ ルールを実装する共有ライブラリ内の関数を指定します。関数のパラメータ共有ライブラリの関数に渡すパラメータがリスト表示されます。アクティブ ルールアクティブ ルール スクリプトを表示します。
[ルール]ダイアログ ボックスの[リソース]フィールドの設定
[ルール]ダイアログ ボックスの[リソース]フィールドでは、ルールが保護するリソースを指定します。リソースには、特定のファイル、もしくは複数のファイルを含めるためのリソース照合や正規表現を使用した式を入力できます。
[リソース]フィールドで指定したリソースは、ルールを含むレルムのリソース フィルタに追加されます。リソース フィルタの最後がスラッシュ(/)で終わる場合は、リソース エントリの先頭に「/」を付けないでください。
例
- リソース フィルタが /dir1/ であるとします。
- リソースが /file.html であるとします。
ルールは誤って /dir1//file.html を保護しようとします。
- [リソース]フィールドには「file.html」と入力する必要があります。
この場合、ルールは /dir1/file.html を保護します。
スラッシュで終わらないルール
終わりがスラッシュ(/)ではないルールを指定し、その後スラッシュを削除すると、管理 UI によって[リソース]フィールドに自動的にアスタリスク(*)が入力されます。これは、ルールが該当するレルム内あるリソースおよび一致するディレクトリをすべて保護することを示します。
例
- リソース フィルタが /dir1 であるとします。管理 UI によって自動的にルールにスラッシュ(/)が挿入され、そのスラッシュをユーザが削除したとします。そうすると、[リソース]フィールドにアスタリスク(*)が入力されます。
- 保護されるリソースは、agent/dir1* になります。このリソースでは、/dir1 にあるものだけでなく、/dir11 や /dir12 などにあるものもすべて保護されます。デフォルトのリソース([リソース]フィールドに「/」が挿入された状態)を使用すると、保護されるリソースはagent/dir1/* となります。つまり、dir1 ディレクトリにあるファイルやディレクトリはすべて対象となり、agent/dir11 やagent/dir12 は対象となりません。
リソース フィルタとリソースの組み合わせ
レルムのリソース フィルタとルールのリソースが多少異なっていても、それらを組み合わせて同じ有効な URL を作成することが可能です。
例
- /dir1 というリソース フィルタを設定してレルムを作成し、/index.html を保護するルールを追加します。
- その後、index.html を保護する /dir1/ というリソース フィルタを設定して別のレルムを作成することもできます。これらのレルムとルールの組み合わせは、いずれもagent/dir1/index.html という URL を作り出します。
/dir1/ は、一致する最も長いレルムであるため、ポリシー処理において優先されます。/dir1/ リソース フィルタを持つレルムを含むポリシーが、/dir1 リソース フィルタを含むポリシーよりも常に優先されます。このことから、/dir1 リソース フィルタを使ってレルム ルールの組み合わせを含むポリシーを作成した管理者にとっては、予期しない状況になることもあります。