アプリケーション オブジェクトを使用して、アプリケーション セキュリティ ポリシーを定義するためのユース ケース

2
casso126jjp
 
 
2
 
 
Web ポータルを保護するアプリケーション セキュリティ ポリシー
このユース ケースのソフトウェア会社(sample-software-company.com)は、会社概要と製品に関する情報を公開する Web ポータルを運営しています。
メイン ホーム ページと製品情報ページの販促資料やホワイト ペーパーには、だれでも制限なくアクセスできます。Web ポータルのこの領域には、セキュリティ ポリシーを必要としません。ただし、ソフトウェア ダウンロード領域へのアクセスは登録済みの顧客に制限します。各顧客にはユーザ名とパスワードが割り当てられ、LDAP ディレクトリ サーバに保存されます。
以下のユース ケースは、アプリケーション セキュリティ ポリシーで、登録済みの顧客のみがアクセスできるように制限してソフトウェア ダウンロード領域を保護する方法を示します。
 
例:
 
  •  
    Single Sign-On
     環境には、登録済みの顧客全員のユーザ名とパスワードが保存されている LDAP ディレクトリ サーバが 1 つあります。
  • 顧客はユーザ名とパスワードで認証してからでないと、ソフトウェア ダウンロード領域にアクセスできません。
 
解決方法:
 
このユース ケースを解決する方法
  1. 保護を必要とする Web ポータルを識別し、顧客情報を含むディレクトリを選択します。
  2. ポータルのソフトウェア ダウンロード領域用のリソースを別に作成します。
  3. 登録済みの顧客ロールを作成します。
  4. 別に作成したリソースと登録済みの顧客ロールを関連付けて、アプリケーション セキュリティ ポリシーを作成します。
Web ポータルの識別とユーザ ディレクトリの選択
Web ポータルに対するアプリケーション セキュリティ ポリシーでは、保護するリソースの最上位のロケーション、およびリソースの使用を許可するユーザのディレクトリを指定する必要があります。
casso126jjp
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
 
以下の手順に従います。
 
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
    [Applications]ページが表示されます。
  3. [アプリケーションの作成]をクリックします。
    [アプリケーションの作成]ページが表示されます。
  4. アプリケーションの名前と説明を入力します。以下の例に示すように、その目的または機能を思い出しやすい特徴のある値を入力します。
    •  
      名前
      Sample Software Company Portal
    •  
      説明
      ダウンロード エリアを除く、ポータルのすべての部分へのアクセスを許可します。
  5. [コンポーネント]で、コンポーネントの名前を入力し、保護するリソースが含まれるディレクトリを指定します。この Web ポータルのユース ケースでは、以下のサンプルを使用します。
    •  
      コンポーネント名
      ダウンロード
    •  
      エージェント タイプ
      Web エージェント
    •  
      エージェント
      PortalAgent
    •  
      リソース フィルタ
      /downloads
    casso126jjp
    注:
    メイン コンポーネントを保存した後でのみ、サブコンポーネントが作成されます。
  6. その他の設定はデフォルトのままにします。
  7. [ユーザ ディレクトリ]で、[追加/削除]をクリックします。
    [ユーザ ディレクトリの選択]ページが表示されます。
  8. 関連するユーザが格納されているディレクトリを選択し、右向きの矢印をクリックして、[使用可能なメンバー]列から[メンバーの選択]列にそのディレクトリを移動します。
  9. [OK]をクリックします。
    [一般]タブに戻ります。
  10. [サブミット]をクリックします。
    Web ポータル アプリケーションが識別され、ディレクトリが選択されます。
Web ポータル リソースの作成
リソースの場所とユーザ ディレクトリを指定した後、Web ポータルのサブディレクトリにある保護するリソースを個別に指定する必要があります。
 
以下の手順に従います。
 
  1. [リソース]タブをクリックします。
    リソースの一覧が表示されます。
  2. [作成]をクリックします。
    [アプリケーション リソースの作成]ペインが表示されます。
  3. [一般]グループ ボックスのフィールドに値を入力します。以下の例に示すように、その目的または機能を思い出しやすい値を選択します。
    •  
      名前
      ダウンロード領域
    •  
      説明
      ソフトウェアのダウンロードは登録済みの顧客に制限されている
    •  
      Resource
      *
  4. [有効なリソース]と保護するリソースが一致していることを確認します。このユース ケースで有効なリソースは以下のとおりです。
    •  
      有効なリソース
      /downloads/*
    この文字列は、ダウンロード ディレクトリのすべてのリソースを保護することを指定します。
  5. アクション グループ ボックスの Web エージェントのアクション オプション ボタンが選択されていることを確認し、アクション リストで以下の項目をクリックします。
    • Get
    • Post
  6. [OK]をクリックします。
    Web ポータル リソースが作成され、リソース リストに表示されます。
Web ポータル ロールの作成
Web ポータル リソースが指定された後、Web ポータルの登録済みのカスタマのためのロールを作成します。ロールはリソースとユーザ グループを関連付けます。
casso126jjp
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
 
以下の手順に従います。
 
  1. [ロール]タブをクリックします。
  2. [ロールの作成]をクリックします。
  3. [タイプ「ロール」の新規オブジェクトの作成]ボタンが選択されていることを確認し、[OK]をクリックします。
    [ロールの作成]ペインが表示されます。
  4. [一般]グループ ボックスのフィールドに値を入力します。以下の例に示すように、その目的または機能を思い出しやすい値を選択します。
    •  
      名前
      登録済みの顧客
    •  
      説明
      ソフトウェア ダウンロードへのアクセスが許可されている登録済みの顧客。
    •  
      ロールは以下に適用されます。
      すべてのユーザ
       
      注:
       このオプションが設定されると、[ユーザ セットアップ]および[詳細設定]グループ ボックスは適用されず、表示されなくなります。
  5. [OK]をクリックします。
    登録済みの顧客のロールが作成されます。
Web ポータル ポリシーの作成
リソースとロールを作成してから、保護する Web ポータルのリソースを Web ポータルのリソースにアクセスするユーザのロールに関連付けます。これにより、アプリケーションを保護するポリシーが作成されます。
 
以下の手順に従います。
 
  1. [ポリシー]タブをクリックします。
  2. ソフトウェアのダウンロード(Software Downloads)行で、「登録済み顧客」のロールを選択します。
    このロールを選択することで、登録済みの顧客のみが Web ポータルのソフトウェア ダウンロード領域にアクセスできることを指定できます。
  3. [サブミット]をクリックします。
    確認の画面が表示されます。Web ポータルのアプリケーション セキュリティ ポリシーが作成されます。
 
リソースのリストの表示
 
リソースのリストの表示は、以下のいずれかのラジオ ボタンをクリックして並べ替えることができます。
  •  
    名前
    リソースを指定したときに設定した名前に従ってリソースを並べ替えます。
    例:
     Software Downloads
  •  
    フィルタ
    保護されている実際のリソースに従ってリソースを並べ替えます。
    例:
     * (アスタリスクはすべてのリソースを示します。)
ロールに基づくアプリケーション セキュリティ ポリシー
このユース ケースの金融サービス会社(acme-financial.com)では、手当と実績を管理する人事アプリケーションが使われています。このアプリケーションの手当の部分には、すべての従業員がアクセスでき、実績管理の部分へのアクセスは管理者にのみ許可されます。
以下の手順では、EPM モデルとアプリケーション ロールを組み合わせて人事アプリケーション用のセキュリティ ポリシーを作成する方法を詳しく示します。
 
例:
 
  •  
    Single Sign-On
     環境には、AcmeLDAP という名前の 1 つのユーザ LDAP ディレクトリがあります。
  • ユーザ ディレクトリは、すべての従業員、および管理者でもある従業員を識別します。これらについては、ディレクトリで以下のように定義します。
    • group:cn=employees、ou=Groups、o=acme-financial.com
    • group:cn=managers、ou=Groups、o=acme-financial.com
  • 管理者を含むすべての従業員は、基本認証方式で認証する必要があります。
 
ロールに基づいたアプリケーション セキュリティの解決策は以下のとおりです。
 
このユース ケースを解決するには、以下の手順を完了します。
  1. アプリケーションを作成します。
  2. ロール基準を満たすユーザを検索するユーザ ディレクトリを選択します。
  3. メイン アプリケーションのサブコンポーネントであるリソースを指定します。
  4. アプリケーションにアクセスできる 2 つのロールを定義します。
  5. リソースとロールをアプリケーション ポリシーに組み合わせます。
保護を必要とするアプリケーションの識別
このユース ケースでは、人事アプリケーションの各部分に別々のアクセス権限を設定します。このためには、メイン アプリケーション下にあるディレクトリを識別して、適切なアクセス権を設定します。
 
サンプルの人事アプリケーションを保護する方法
 
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
    [Applications]ページが表示されます。
  3. [アプリケーションの作成]をクリックします。
    [アプリケーションの作成]ページが表示されます。
  4. [一般]タブをクリックします。
  5. [一般]内の以下フィールドに値を入力します。このユース ケースでは、以下のデータを指定します。
    •  
      名前
      HRアプリケーション
    •  
      説明
      社内の人事アプリケーションを識別します。
  6. [コンポーネント]内の以下のフィールドに値を入力します。このユース ケースでは、以下のデータを指定します。
    •  
      コンポーネント名
      利点
    •  
      エージェント タイプ
      Web エージェント
    •  
      エージェント
      hrportal agent
    •  
      リソース フィルタ
      /benefits
    •  
      デフォルト リソース保護
      保護
    •  
      認証方式
      基本
 
casso126jjp
注:
メイン コンポーネントを保存した後でのみ、サブコンポーネントが作成されます。
  • 保護されているリソースに関連付けられているユーザ ディレクトリを指定します。このディレクトリで 
    Single Sign-On
     はロール基準を満たすユーザを探します。
    1. [追加/削除]をクリックします。
    2. [使用可能なメンバー]ボックスから[Employees]を選択し、右向きの矢印をクリックして、このグループを[メンバーの選択]ボックスに移動します。
    3. [OK]をクリックします。
これで、人事アプリケーションが識別されました。
アプリケーション リソースの指定
保護するメイン アプリケーションのサブ領域を指定したら、アプリケーション ポリシーで保護するそのサブディレクトリ内の特定のリソースを指定できます。
このユース ケースでは、保護するリソースが 2 つあります。
  • 福利厚生管理
  • 勤務評価
 
メイン アプリケーションの特定のリソースまたは機能を指定する方法
 
  1. [リソース]タブをクリックします。
  2. [作成]をクリックします。
    [リソース]ペインが開きます。
  3. [一般]グループ ボックスのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    •  
      名前
      Benefits Management
    •  
      説明
      従業員が各自の福利厚生を管理できます。
  4. [属性]グループ ボックスの各フィールドに、値を入力します。このユース ケースでは、以下の値を入力します。
    •  
      Resource
      managebenefits.jsp
  5. 手順 2 から 4 を繰り返します。ただし、以下の情報を入力します。
    •  
      名前
      勤務評価
    •  
      説明
      マネージャが従業員の評価報告書および給与査定を作成できます。
    •  
      Resource
      salaryincrease.jsp
casso126jjp
:それぞれの要件および制限など、設定とコントロールの説明を参照するには、[ヘルプ]をクリックします。
これで、勤務評価アプリケーションに関連付けられたリソースが定義されました。
従業員ロールの作成
保護を必要とするアプリケーションの固有コンポーネントを定義した後、特定のリソースへのアクセス権を持つユーザのセットを定義するロールを指定します。すべての従業員のためのロールを作成します。
 
以下の手順に従います。
 
  1. [ロール]タブをクリックします。
  2. [ロールの作成]をクリックします。
    [ロールの作成]ペインが表示されます。
  3. [作成]オプションが選択されていることを確認し、[OK]をクリックします。
  4. [一般]グループ ボックスのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    •  
      名前
      従業員
    •  
      説明
      Acme Financial Services のすべての従業員
    •  
      ロールは以下に適用されます。
      すべてのユーザ
       
      注:
       このオプションが設定されると、[ユーザ セットアップ]および[詳細設定]グループ ボックスは適用されず、表示されなくなります。
  5. [OK]をクリックします。
マネージャ ロールの作成
保護を必要とするアプリケーションの固有コンポーネントを定義した後、特定のリソースへのアクセス権を持つユーザのセットを定義するロールを指定します。マネージャ用のロールを作成します。
 
以下の手順に従います。
 
  1. [ロール]タブをクリックします。
  2. [作成]をクリックします。
    [ロールの作成]ペインが表示されます。
  3. [作成]オプションが選択されていることを確認し、[OK]をクリックします。
  4. [一般]グループ ボックスのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    •  
      名前
      マネージャ
    •  
      説明
      Acme Financial Services のマネージャ
    •  
      ロールは以下に適用されます。
      選択されたユーザ
  5. [選択されたユーザへのロールの適用]オプションが選択されており、[ユーザ セットアップ]および[詳細設定]グループ ボックスが表示されていることを確認します。
  6. [ユーザ セットアップ]グループ ボックスで選択することにより、マネージャ ロールでユーザのセットを定義します。このユース ケースについては、[メンバー グループ]テーブル内の以下のエントリを選択します。
    cn=managers,ou=Groups,o=acme-financial.com
    このエントリは、企業ユーザ ディレクトリ内で管理者のグループを指定します。
  7. [OK]をクリックします。
アプリケーションにデータを渡すレスポンスの使用
Acme Financial Services の従業員が人事アプリケーションを簡単に使えるように、各従業員の手当レコードの従業員 ID を渡すレスポンスを設定できます。
 
従業員 ID を渡すレスポンスを作成する方法
 
  1. [アプリケーション]ダイアログ ボックスで[レスポンス]をクリックします。
  2. [レスポンスの作成]をクリックします。
    [レスポンスの作成]ダイアログが表示されます。
  3. フィールドには以下のように入力します。
    •  
      名前
      従業員 ID
    •  
      説明
      従業員 ID を一覧表示します。
  4. [レスポンス属性の作成]をクリックします。
    [レスポンス属性の作成]ダイアログが表示されます。
  5. フィールドには以下のように入力します。
    •  
      属性
      WebAgent-HTTP-Header-Variable
    •  
      属性の種類
      ユーザ属性
    •  
      属性フィールド - 変数名
      Personnel_Key
    •  
      属性フィールド - 変数値
      EmployeeID
  6. 他のすべてのフィールドはデフォルトのままにします。
  7. メインの[レスポンス]タブに戻るまで[OK]をクリックします。
従業員 ID レスポンスが作成されます。従業員が自分の手当情報を表示するとき、このレスポンスから得られたデータが人事アプリケーションに返され、手当レコードにこの従業員の顧客 ID が表示されます。
ロールに基づいたポリシーの確立
リソースとロールを定義したら、これらのオブジェクトをアプリケーション セキュリティ ポリシーにグループ化することができます。
 
以下の手順に従います。
 
  1. [ポリシー]タブをクリックします。
    [ポリシー]ペインが開き、設定されたリソースとロールを示すテーブルが表示されます。このテーブルを見れば、どのロールがどのリソースへのアクセスを許可されているかをひとめで把握できます。
  2. 以下の手順を実行します。
    1. すべての従業員に各自の福利厚生を管理することを許可するポリシーを作成するには[Benefits Management]行で[Employees]ロールを選択します。
    2. マネージャのみに勤務評価にアクセスすることを許可するポリシーを作成するには、[Performance Appraisals]行で[Managers]ロールを選択します。
  3. [サブミット]をクリックします。
ロールに基づいて、人事アプリケーション用の 2 つのセキュリティ ポリシーを作成しました。
 
注:
 リソースまたはロールを編集するには、[ポリシー]ペインではなく、各タブで変更を行ってください。
アプリケーションを説明するメタデータを含める
Acme-financial.com は、社内の人事アプリケーションに関する説明情報を必要としています。カスタム属性を使用して、アプリケーションを説明するメタデータを定義できます。
Acme-financial で必要としている情報は、アプリケーションとアプリケーションが完了した日付です。
 
以下の手順に従います。
 
  1. [カスタム属性]タブをクリックします。
    [カスタム属性]ダイアログが表示されます。
  2. [作成]をクリックします。
    [名前]と[値]フィールドがあるテーブルが表示されます。
  3. カスタム属性テーブルのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    •  
      名前
      App_Completed
    •  
      November_22_2007
  4. [作成]をクリックしてテーブルに別の行を追加し、さらに以下の値を入力します。
    •  
      名前
      目的
    •  
      Human_Resource_Mgmt
  5. [サブミット]をクリックします。
ユーザ マッピングと名前付き式を使用したアプリケーション セキュリティ ポリシー
このユース ケースでは、衣料品小売会社で、顧客がクレジット限度を超えたら Web 上でクレジットによる購入を行えないようにするロールを定義します。この会社のポリシーでは、顧客のクレジット限度を 1,000 ドルとし、従業員のクレジット限度を 2,000 ドルとしています。
属性マッピング、名前付き式(仮想ユーザ属性とユーザ クラス)、およびロールを使用して、企業のクレジット ポリシーに適合するように、アプリケーション セキュリティ ポリシーを作成することができます。
 
例:
 
  •  
    Single Sign-On
     環境に 2 つのユーザ ディレクトリが含まれています。
  • ディレクトリ A には、従業員が格納されます。従業員は顧客になることもあります。そのため、ディレクトリ A では、以下に属する従業員は顧客でもあると識別されます。
    group:cn=Customers,ou=Groups,o=acme.com
  • ディレクトリ B は顧客のみ格納します。ディレクトリ B にユーザを格納するということは、そのユーザが顧客であるという意味なので、ディレクトリ B に顧客を識別するユーザ属性はありません。
 
解決方法:
 
  1. 属性マッピングを定義します。
  2. 名前付き式を設定します。
  3. 拡張式内の属性マッピングを使用して、ロールを確立します。
  4. レスポンスを作成して、アプリケーションをさらにカスタマイズします。
  5. アプリケーション セキュリティ ポリシーを作成します。
2 つのユーザ ディレクトリのマッピングの確立
小売会社には 2 つのディレクトリがあります。両方のユーザ ディレクトリで顧客を識別するユニバーサルなスキーマを作成するには、属性マッピングを使用します。属性マッピングは、管理 UI で作成します。
 
このユース ケースの属性マッピングを作成する方法
 
  1. ディレクトリ A にはグループ メンバシップ属性を作成します。
    • 属性の名前を
       IsCustomer
       とします。
    • IsCustomer を cn=Customers,ou=Groups,o=acme.com として定義します。
  2. ディレクトリ B には定数属性を作成します。
    • 属性の名前を
       IsCustomer
       とします。
    • IsCustomer を 
      "TRUE"
       として定義します。
IsCustomer により、同じユーザ情報の共通のビューが生成されます。式で IsCustomer を参照して、ユーザが顧客かどうかを判別することができます。
属性マッピングを設定する方法の詳細な手順については、「属性マッピングの定義」のセクションを参照してください。
クレジット限度をチェックするための名前付き式の定義
名前付き式を使用して、
Single Sign-On
 が各ユーザのクレジット限度と口座残高を計算できるようにします。式では、顧客がクレジット限度を超えているかどうかを判別することもできます。
 
このユース ケースの名前付き式を定義する方法
 
  1. 仮想ユーザ属性を定義します。このユーザ属性は、顧客の場合は 1,000 ドルのクレジット限度を計算し、従業員の場合は 2,000 ドルのクレジット限度を計算します。
    • 属性の名前を
       #CreditLimit
       とします。
    • #CreditLimit を以下のように定義します。
      IsCustomer?1000:2000
      この計算には、
      Single Sign-On
       でサポートされている式構文が含まれています。
  2. 監査データベースから口座残高を取得する仮想ユーザ属性を定義します。
    • 属性の名前を 
      #Balance
       とします。
    • この属性を次のように定義します。
      (MyLibrary.GetBalance(""))
      この属性定義は衣類の小売業者によって定義されたアクティブな式です。
  3. 顧客がそれぞれの信用限度を超えているかどうかを判断する、ユーザ クラス式を作成します。
    • 属性に 
      @IsUnderCreditLimit
       という名前を付けます。
    • この属性を次のように定義します。
      (#Balance > #CreditLimit)
仮想ユーザ属性およびユーザ クラス式の作成の詳細については、「名前付き式の定義」を参照してください。
オンライン ショッピング アプリケーションの保護
このユース ケースでは、Web ベースのショッピング アプリケーションの特定の条件に従ってアクセス権限を設定します。
 
Web ベースのショッピング アプリケーションを保護する方法
 
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
    [Applications]ページが表示されます。
  3. [アプリケーションの作成]をクリックします。
    [アプリケーションの作成]ページが表示されます。
  4. [一般]タブをクリックします。
  5. 以下のフィールドに値を入力します。このユース ケースでは、以下のデータを指定します。
    •  
      名前
      Online Catalog
    •  
      説明
      衣料品ストアの Web ベースのショッピング アプリケーションを識別します。
  6. [コンポーネント]内の以下のフィールドに値を入力します。このユース ケースでは、以下のデータを指定します。
    •  
      コンポーネント名
      カタログ
    •  
      エージェント タイプ
      Web エージェント
    •  
      エージェント
      Web 小売エージェント
    •  
      リソース フィルタ
      /webcatalog
    •  
      デフォルト リソース保護
      保護
    •  
      認証方式
      基本
 
casso126jjp
注:
メイン コンポーネントを保存した後でのみ、サブコンポーネントが作成されます。
  • 保護されているリソースに関連付けられているユーザ ディレクトリを指定します。このディレクトリで 
    Single Sign-On
     はロール基準を満たすユーザを探します。
    1. [追加/削除]をクリックします。
    2. [使用可能なメンバ]ボックスから[IsCustomer]を選択し、右向きの矢印をクリックして、このグループを[選択されたメンバ]ボックスに挿入します。
      IsCustomers は、衣料品ストアに関連付けられている両方のディレクトリ内のユーザにマッピングされます。
    3. [サブミット]をクリックします。
これで、Online Catalog という名前の新しいアプリケーションが作成されました。
保護を必要とするリソースの指定
このユース ケースでは、クレジット限度を超えたユーザがトランザクションを完了できないようにチェックアウト プロセスを保護します。そのため、以前に作成した Online Catalog アプリケーションにリソースを追加します。
 
Web ベースのショッピング アプリケーションの特定のリソースを保護する方法
 
  1. [ポリシー]-[アプリケーション]をクリックします。
  2. [アプリケーション]をクリックします。
    [Applications]ページが表示されます。
  3. 検索条件を指定し、[検索]をクリックします。
    条件に一致するアプリケーションが表示されます。
  4. 変更するアプリケーションの名前をクリックします。このユース ケースでは、[オンライン カタログ]をクリックします。
    [アプリケーションの表示]ページが表示されます。
  5. ページをスクロールダウンして[変更]をクリックします。
    設定とコントロールがアクティブになります。
  6. [リソース]タブを選択します。
  7. [作成]をクリックします。
    [リソースの作成]ページが表示されます。
  8. 以下のフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    •  
      名前
      Checkout
    •  
      説明
      購入額を合計して代金を支払うことができます。
  9. [属性]内の以下フィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    •  
      Resource
      total_charges.jsp
  10. [アクション]で[Web エージェント アクション]を選択し、アクション Get および Post を選択します。
  11. [OK]をクリックします。
Checkout というリソースが作成されました。
顧客ロールの設定
Web ポータル リソースが定義された後、クレジット限度を超えない限り顧客が Web ベースの購入ができるアプリケーション ロールを作成します。
casso126jjp
: 以下の手順では、新しいオブジェクトを作成しているとします。また、既存のオブジェクトのプロパティをコピーしてオブジェクトを作成することもできます。詳細については、「ポリシー サーバ オブジェクトの複製」を参照してください。
 
このクレジット ベースのロールを作成する方法
 
  1. [ロール]タブをクリックします。
  2. [ロールの作成]をクリックします。
    [ロールの作成]ダイアログ ボックスが表示されます。
  3. [作成]オプションが選択されていることを確認し、[OK]をクリックします。
    [ロールの作成]ダイアログ ボックスが開きます。
  4. [一般]グループ ボックスのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    •  
      名前
      PurchasewithCredit
    •  
      説明
      顧客がクレジットを使用して購入代金を支払うことを示します。
    •  
      ロールは以下に適用されます。
      選択されたユーザ
  5. [拡張式]グループ ボックスに式を入力します。このユース ケースでは以下を入力します。
    •  
      ユーザの式
      @IsUnderCreditLimit
    ロール式は、#Balance と #CreditLimit の 2 つの仮想ユーザ属性式の積です。これらの式によって、ユーザがクレジット限度を超えているかどうかを計算します。
  6. [OK]をクリックします。
PurchasewithCredit というロールが作成されました。このロールの値は、2 つの名前付き式の組み合わせです。
レスポンスによるアプリケーションのカスタマイズ
さらにパーソナライズされた操作性を顧客に提供するために、衣類小売り業者は信用限度を超えている顧客が信用限度の引き上げを申請できるレスポンスを設定できます。このレスポンスは、信用限度を超えている顧客を限度の引き上げを申請できる借入申込書にリダイレクトします。
 
レスポンスを作成する方法
 
  1. [レスポンス]タブをクリックします。
  2. [レスポンスの作成]をクリックします。
    [レスポンスの作成]ダイアログが表示されます。
  3. フィールドには以下のように入力します。
    •  
      名前
      CreditNotice
    •  
      説明
      信用限度を超えていることをユーザに警告します。
  4. [レスポンス属性の作成]をクリックします。
    [レスポンス属性の作成]ダイアログが表示されます。
  5. 以下のようにフィールドと設定を完了します。
    •  
      属性
      WebAgent-OnReject-Redirect
    •  
      属性の種類
      スタティック
    •  
      属性フィールド - 変数値
      http://catalog.retailcorp.com/credit_notice.jsp
  6. 他のすべてのフィールドはデフォルトのままにします。
  7. [OK]をクリックします。
CreditNotice という名前のレスポンスが作成され、信用限度を超えている顧客に送信されます。
ショッピング アプリケーションに対するセキュリティ ポリシーの設定
リソース、ロール、およびレスポンスを定義したら、Web ベースのショッピング アプリケーションを保護するポリシーを設定します。
 
以下の手順に従います。
 
  1. [ポリシー]タブをクリックします。
    [ポリシー]ダイアログ ボックスが開き、Checkout リソースと PurchaseWithCredit ロールを示すテーブルが表示されます。
  2. Checkout リソースに対して PurchaseWithCredit ロールを選択します。
    この組み合わせにより、クレジット限度を超えていない限り、すべての顧客がストアのクレジット カードを使用して購入することを許可するポリシーが設定されます。さらに、ロールのチェック ボックスをオンにすると、[レスポンス]のグリッドにデータが設定されます。
  3. Checkout リソースに対して CreditNotice レスポンスを選択します。
これで、支出限度を定義するロールに基づくオンライン カタログ アプリケーションのセキュリティ ポリシーが設定されました。さらに、レスポンスがポリシーに関連付けられているので、限度を超えた後も購入を続けている顧客にレスポンスが送信されます。
アプリケーションを説明するメタデータの指定
衣類小売り業者は、オンライン カタログ アプリケーションに関する説明情報を必要としています。カスタム属性を使用して、アプリケーションを説明するメタデータを指定できます。
衣類小売り業者は、このアプリケーションの管理者の電子メール アドレスを記載すると共に、アプリケーションがオンライン カタログ専用であることを説明したいと考えています。
 
オンライン カタログ アプリケーションのメタデータを指定する方法
 
  1. [カスタム属性]タブをクリックします。
    [カスタム属性]ダイアログが表示されます。
  2. [作成]をクリックします。
    [名前]と[値]フィールドがあるテーブルが表示されます。
  3. カスタム属性テーブルのフィールドに値を入力します。このユース ケースでは、以下の値を入力します。
    •  
      名前
      App_Function
    •  
      online_retail
  4. [作成]をクリックしてテーブルに別の行を追加し、さらに以下の値を入力します。
  5. [サブミット]をクリックします。
アプリケーション セキュリティ ポリシーの作成に関連するすべてのタスクを完了しました。