ポリシー バインドの確立

目次
casso127jpjp
目次
2
以降のセクションでは、さまざまなタイプのポリシー バインドの確立方法について説明します。ユーザ情報が存在するユーザ ディレクトリの種類によって、ポリシーのバインド方法が異なります。
LDAP ディレクトリのポリシー バインド
Single Sign-On
は、ユーザの認証時に、そのユーザのコンテキストを確立します。その後、アクセス制御ポリシーの決定は、次の表に示す条件のいずれかに一致するユーザ コンテキストに基づくことになります。
ユーザネームスペース
説明
[User]
ユーザの識別名(DN)は、ポリシーに指定された DN と一致している必要があります。
ユーザ属性
ユーザ属性に関連した条件を指定する検索式は、真である必要があります。
ユーザ グループ
ユーザの DN は、ポリシーに指定されたユーザグループのメンバーである必要があります。
グループ属性
グループ属性に関連した条件を指定する検索式は、真である必要があります。
組織ロール
ユーザは、ポリシーに指定された組織ロールを持っている必要があります。
組織単位
ユーザは、ポリシーに指定された組織単位のメンバーである必要があります。組織単位は、ユーザの DN、グループ、またはロールの一部である必要があります(デフォルトでは、グループおよびロールは使用されません)。
[Organization]
ユーザは、ポリシーに指定された組織のメンバーである必要があります。組織は、ユーザの DN、グループ、またはロールの一部である必要があります(デフォルトでは、グループおよびロールは使用されません)。
組織属性
組織属性に関連した条件を指定する検索式は、真である必要があります。
カスタム オブジェクト クラス
Single Sign-On
は、ポリシーをカスタム ディレクトリ オブジェクトに関連付けるように設定することができます。
 
通常、
Single Sign-On
の[ポリシー]ペインでユーザまたはユーザ属性をポリシーにバインドするには、使用可能なディレクトリ エントリのリストからエントリを選択します。使用可能なディレクトリのリストでは、個々のユーザは表示されません。ただし、ディレクトリ内の特定ユーザの検索や、ユーザをポリシーに直接追加することはできます。
手動設定フィールドでのユーザへのポリシーのバインド
個々のユーザをポリシーにバインドするには 2 つの方法があります。1 つは、
Single Sign-On
ポリシーの[ユーザ/グループ]ダイアログ ボックスの[手動設定]フィールドを使用する方法です。もう 1 つは、
Single Sign-On
ポリシーの[ユーザ/グループ]ダイアログ ボックスの検索機能を使用する方法です。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
  2. 検索するユーザ ディレクトリを持つグループ ボックスを特定し、[エントリの追加]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が開きます。
  3. [検索する場所]ドロップダウン リストをクリックし、次に、[ユーザの検索]を選択します。
  4. [手動設定]フィールドに、ユーザ DN を指定します。
    たとえば、「uid=JSmith, ou=people, o=myorg.org」と指定します。
    注:
    ユーザ DN を指定する場合は、ユーザの識別名と同一にする必要があります。この機能は、ユーザ DN に含まれる情報のサブセットとは一致しません。
  5. [OK]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が閉じて、入力したユーザ DN がディレクトリのグループ ボックスに表示されます。
  6. [サブミット]をクリックして、変更を保存します。
検索機能によるユーザへのポリシーのバインド
[ユーザ ディレクトリ]ウィンドウで個々のユーザをポリシーにバインドするには、2 つの方法があります。[ユーザ ディレクトリ]グループ ボックスで[メンバーの追加]をクリックし、[ユーザ/グループ]ウィンドウで属性/値機能を使用します。または、[ユーザ ディレクトリ]グループ ボックスで[エントリの追加]をクリックし、[ユーザ ディレクトリ検索式エディタ]を使用します。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
    [ユーザ ディレクトリ]ウィンドウで、ドメインに関連付けられているユーザ ディレクトリのリストが開きます。
  2. [ユーザ ディレクトリ]グループ ボックスで[メンバーの追加]をクリックします。
    [ユーザ/グループ]ウィンドウが開きます。
  3. 検索条件を指定し、[実行]をクリックします。
    検索条件に一致するユーザのリストが表示されます。
  4. 必要なユーザを選択し、[OK]をクリックします。
    [ユーザ ディレクトリ]ウィンドウがもう一度開きます。ユーザ ディレクトリのグループ ボックスに、選択したユーザが表示されています。
  5. [サブミット]をクリックします。
    作成タスクまたはポリシーの変更タスクを処理できるよう送信します。
ユーザ属性へのポリシーのバインド
ポリシーをユーザ属性に結び付けるには、LDAP 検索式を指定します。この式でグループ属性に関する条件を定義し、条件が真になるようにします。たとえば、ロケーション
(l)
westcoast
である、
または
メールアドレス
(mail)
の終わりの文字列が
string.com
であるユーザ全員にポリシーをバインドするには、[手動設定]フィールドに以下の検索式を挿入します(先頭にパイプ(
|
)を使用します)。
(|(l=westcoast)(mail=*string.com))
ユーザ グループへのポリシーのバインド
[ユーザ/グループ]ペインに開いているユーザ グループにポリシーをバインドします。
以下の手順に従います。
  1. [ユーザ]タブをクリックします。
    [ユーザ ディレクトリ]グループ ボックスで、ドメインに関連付けられたユーザ ディレクトリが開きます。
  2. [メンバーの追加]をクリックします。
    [ユーザ/グループ]ウィンドウが開きます。
  3. ユーザ グループを選択します。
  4. [OK]をクリックします。
    [ユーザ ディレクトリ]セクションが開きます。それぞれのユーザ ディレクトリ テーブルが、ポリシーを適用するユーザ グループを表示します。
組織ロールへのポリシーのバインド
ポリシーを組織ロールにバインドする場合、ポリシーを起動するには、ユーザがそのロールのメンバである必要があります。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
  2. 検索するユーザ ディレクトリを持つグループ ボックスを特定し、[エントリの追加]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が開きます。
  3. [検索する場所]ドロップダウン リストをクリックし、次に、[ユーザの検索]を選択します。
  4. [手動設定]フィールドで、組織のロールを指定します。
  5. [OK]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が閉じて、入力した組織ロールがディレクトリのグループ ボックスに表示されます。
  6. [サブミット]をクリックして、変更を保存します。
    組織ロールがポリシーにバインドされます。
グループ属性へのポリシーのバインド
ポリシーをグループ属性に結び付けるには、LDAP 検索式を指定します。この式でグループ属性に関する条件を定義し、条件が真になるようにします。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
  2. 検索するユーザ ディレクトリを持つグループ ボックスを特定し、[エントリの追加]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が開きます。
  3. [検索する場所]ドロップダウン リストをクリックし、次に、[ユーザの検索]を選択します。
  4. [手動設定]フィールドで、グループを指定します。たとえば、アメリカ合衆国のマサチューセッツ州にあるすべてのグループにポリシーをバインドするには、[手動設定]フィールドに以下の検索式を挿入します。
    (&(c=USA)(s=Massachusetts))
  5. [OK]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が閉じて、入力したグループがディレクトリのグループ ボックスに表示されます。
  6. [サブミット]をクリックして、変更を保存します。
組織単位へのポリシーのバインド
ポリシーを組織単位にバインドするには、組織単位を定義する LDAP 検索式を指定します。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
  2. 検索するユーザ ディレクトリを持つグループ ボックスを特定し、[エントリの追加]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が開きます。
  3. [検索する場所]ドロップダウン リストをクリックし、次に、[組織の検索]を選択します。
  4. [手動設定]フィールドで、組織単位を指定します。たとえば、組織単位(ou)が marketing であるユーザ全員にポリシーをバインドするには、[手動設定]フィールドに以下の検索式を挿入します。
    ou=marketing
  5. [OK]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が閉じて、入力したユーザ DN がディレクトリのグループ ボックスに表示されます。
  6. [サブミット]をクリックして、変更を保存します。
    組織単位がポリシーにバインドされます。
組織へのポリシーのバインド
ポリシーを組織にバインドするには、組織を定義する LDAP 検索式を指定します。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
  2. 検索するユーザ ディレクトリを持つグループ ボックスを特定し、[エントリの追加]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が開きます。
  3. [検索する場所]ドロップダウン リストをクリックし、次に、[組織の検索]を選択します。
  4. [手動設定]フィールドで、組織を指定します。
    たとえば、組織
    (o)
    myorg.org
    であるユーザ全員にポリシーをバインドするには、[手動設定]フィールドに以下の検索式を挿入します。
    o=myorg.org
  5. [OK]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が閉じて、入力した組織がディレクトリのグループ ボックスに表示されます。
  6. [サブミット]をクリックして、変更を保存します。
    組織単位がポリシーにバインドされます。
組織属性へのポリシーのバインド
ポリシーを組織属性にバインドするには、LDAP 検索式を指定します。この式で、真になる必要がある組織属性に関する条件を定義します。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
  2. 検索するユーザ ディレクトリを持つグループ ボックスを特定し、[エントリの追加]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が開きます。
  3. [検索する場所]ドロップダウン リストをクリックし、次に、[組織の検索]を選択します。
  4. [手動設定]フィールドで、組織属性を指定します。たとえば、アメリカ合衆国のマサチューセッツ州にあるすべての組織ポリシーをバインドするには、[手動設定]フィールドに以下の検索式を挿入します。
    (&(c=USA)(s=Massachusetts))
  5. [OK]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]が閉じて、入力した組織属性がディレクトリのグループ ボックスに表示されます。
  6. [サブミット]をクリックして、変更を保存します。
    ポリシーが組織属性にバインドされます。
カスタム オブジェクト クラスへのポリシーのバインド
Single Sign-On
Software Development Kit で作成するカスタム オブジェクト クラスにポリシーをバインドすることができます。
ポリシーのバインド(Windows NT ユーザディレクトリ用)
Single Sign-On
は、ユーザの認証時に、そのユーザのコンテキストを確立します。その後、アクセス制御ポリシーの決定は、次の表に示す条件のいずれかに一致するユーザ コンテキストに基づくことになります。
ユーザネームスペース
説明
[User]
ユーザのユーザ名は、ポリシーに指定したユーザ名と一致する必要があります。
ユーザ グループ
ユーザは、ポリシーに指定されたユーザグループのメンバーである必要があります。
通常、[ポリシー]ペインでユーザをポリシーにバインドするには、使用可能なディレクトリ エントリのリストからエントリを選択します。ただし、使用可能なディレクトリのリストには、個々のユーザは表示されません。
手動設定フィールドでのユーザへのポリシーのバインド
[ユーザ ディレクトリ]ウィンドウで個々のユーザをポリシーにバインドするには、2 つの方法があります。[ユーザ ディレクトリ]グループ ボックスで[メンバーの追加]をクリックし、[ユーザ/グループ]ウィンドウで属性/値検索機能を使用します。または、[ユーザ ディレクトリ]グループ ボックスで[エントリの追加]をクリックし、[ユーザ ディレクトリ検索式エディタ]を使用します。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
    [ユーザ ディレクトリ]ウィンドウで、ドメインに関連付けられているユーザ ディレクトリのリストが開きます。
  2. [ユーザ ディレクトリ]グループ ボックスで[エントリの追加]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]ウィンドウが開きます。
  3. [条件]および[infix 形式]グループ ボックスでユーザ DN を指定します。
  4. [OK]をクリックします。
    [ユーザ ディレクトリ]ウィンドウがもう一度開きます。ユーザ ディレクトリのグループ ボックスに、指定したユーザが表示されています。
  5. [サブミット]をクリックします。
    作成タスクまたはポリシーの変更タスクを処理できるよう送信します。
検索機能によるユーザへのポリシーのバインド
[ユーザ ディレクトリ]ウィンドウで個々のユーザをポリシーにバインドするには、2 つの方法があります。[ユーザ ディレクトリ]グループ ボックスで[メンバーの追加]をクリックし、[ユーザ/グループ]ウィンドウで属性/値機能を使用します。または、[ユーザ ディレクトリ]グループ ボックスで[エントリの追加]をクリックし、[ユーザ ディレクトリ検索式エディタ]を使用します。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
    [ユーザ ディレクトリ]ウィンドウで、ドメインに関連付けられているユーザ ディレクトリのリストが開きます。
  2. [ユーザ ディレクトリ]グループ ボックスで[メンバーの追加]をクリックします。
    [ユーザ/グループ]ウィンドウが開きます。
  3. 検索条件を指定し、[実行]をクリックします。
    検索条件に一致するユーザのリストが表示されます。
  4. 必要なユーザを選択し、[OK]をクリックします。
    [ユーザ ディレクトリ]ウィンドウがもう一度開きます。ユーザ ディレクトリのグループ ボックスに、選択したユーザが表示されています。
  5. [サブミット]をクリックします。
    作成タスクまたはポリシーの変更タスクを処理できるよう送信します。
ユーザ グループへのポリシーのバインド
ユーザ グループにポリシーをバインドできます。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
    [ユーザ ディレクトリ]ウィンドウで、ドメインに関連付けられているユーザ ディレクトリのリストが開きます。
  2. [ユーザ ディレクトリ]グループ ボックスで[メンバーの追加]をクリックします。
    [ユーザ/グループ]ウィンドウが開きます。
  3. ユーザ グループを選択します。
  4. [OK]をクリックします。
    [ユーザ ディレクトリ]ウィンドウがもう一度開きます。ユーザ ディレクトリのグループ ボックスに、選択したユーザ グループが表示されています。
Microsoft SQL Server または Oracle ユーザ ディレクトリのポリシー バインド
Single Sign-On
は、ユーザの認証時に、そのユーザのコンテキストを確立します。その後、アクセス制御ポリシーの決定は、次の表に示す条件のいずれかに一致するユーザ コンテキストに基づくことになります。
ユーザネームスペース
説明
[User]
ユーザの名前は、ポリシーに指定したユーザ名と一致する必要があります。
ユーザ グループ
ユーザは、ポリシーに指定されたユーザグループのメンバーである必要があります。
ユーザ属性
ユーザ属性に関連した条件を指定する検索式は、真である必要があります。
SQL クエリ
ユーザに関連した条件を指定する SQL クエリは、真である必要があります。
通常、ポリシーの[ユーザ/グループ]ペインでユーザまたはユーザ属性をポリシーにバインドするには、使用可能なディレクトリ エントリのリストからエントリを選択します。ただし、個々のユーザは、使用可能なディレクトリのリストには表示されないことがあります(ユーザディレクトリの SQL クエリ方式でクエリの列挙をどのように設定したかによります)。
手動設定フィールドでのユーザへのポリシーのバインド
[ユーザ ディレクトリ]ウィンドウで個々のユーザをポリシーにバインドするには、2 つの方法があります。[ユーザ ディレクトリ]グループ ボックスで[メンバーの追加]をクリックし、[ユーザ/グループ]ウィンドウで属性/値検索機能を使用します。または、[ユーザ ディレクトリ]グループ ボックスで[エントリの追加]をクリックし、[ユーザ ディレクトリ検索式エディタ]を使用します。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
    [ユーザ ディレクトリ]ウィンドウで、ドメインに関連付けられているユーザ ディレクトリのリストが開きます。
  2. [ユーザ ディレクトリ]グループ ボックスで[エントリの追加]をクリックします。
    [ユーザ ディレクトリ検索式エディタ]ウィンドウが開きます。
  3. [条件]および[infix 形式]グループ ボックスでユーザ DN を指定します。
  4. [OK]をクリックします。
    [ユーザ ディレクトリ]ウィンドウがもう一度開きます。ユーザ ディレクトリのグループ ボックスに、指定したユーザが表示されています。
  5. [サブミット]をクリックします。
    作成タスクまたはポリシーの変更タスクを処理できるよう送信します。
検索機能によるユーザへのポリシーのバインド
[ユーザ ディレクトリ]ウィンドウで個々のユーザをポリシーにバインドするには、2 つの方法があります。[ユーザ ディレクトリ]グループ ボックスで[メンバーの追加]をクリックし、[ユーザ/グループ]ウィンドウで属性/値機能を使用します。または、[ユーザ ディレクトリ]グループ ボックスで[エントリの追加]をクリックし、[ユーザ ディレクトリ検索式エディタ]を使用します。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
    [ユーザ ディレクトリ]ウィンドウで、ドメインに関連付けられているユーザ ディレクトリのリストが開きます。
  2. [ユーザ ディレクトリ]グループ ボックスで[メンバーの追加]をクリックします。
    [ユーザ/グループ]ウィンドウが開きます。
  3. 検索条件を指定し、[実行]をクリックします。
    検索条件に一致するユーザのリストが表示されます。
  4. 必要なユーザを選択し、[OK]をクリックします。
    [ユーザ ディレクトリ]ウィンドウがもう一度開きます。ユーザ ディレクトリのグループ ボックスに、選択したユーザが表示されています。
  5. [サブミット]をクリックします。
    作成タスクまたはポリシーの変更タスクを処理できるよう送信します。
ユーザ グループへのポリシーのバインド
ユーザ グループにポリシーをバインドできます。
以下の手順に従います。
  1. [ポリシー]-[ユーザ]に移動します。
    [ユーザ ディレクトリ]ウィンドウで、ドメインに関連付けられているユーザ ディレクトリのリストが開きます。
  2. [ユーザ ディレクトリ]グループ ボックスで[メンバーの追加]をクリックします。
    [ユーザ/グループ]ウィンドウが開きます。
  3. ユーザ グループを選択します。
  4. [OK]をクリックします。
    [ユーザ ディレクトリ]ウィンドウがもう一度開きます。ユーザ ディレクトリのグループ ボックスに、選択したユーザ グループが表示されています。
ユーザ属性へのポリシーのバインド
ポリシーをユーザ属性にバインドするには、検索式を指定します。この式で、真になる必要があるユーザ属性に関する条件を定義します。
たとえば、市外局番が 555 であるユーザ全員にポリシーをバインドするには、[手動設定]フィールドに以下の検索式を挿入します: (areacode='555')。