[ルール]ダイアログ ボックス

casso127jpjp
HID_rule
目次
[ルール]ダイアログ ボックスでは、ポリシー ルールの作成と編集を行います。
このダイアログ ボックスには以下のセクションが含まれます。
  • 一般
    ルールを指定します。
    • 名前
      ルールの名前を指定します
    • 説明
      (オプション)ルールの説明を指定します。
  • 属性 - レルムとリソース
    レルムとリソースを定義します。
    • Resource
      ルールによって保護されるリソースを指定し、ルールでの正規表現の使用を有効化/無効化します。
    • 有効なリソース
      リソース文字列全体を表示します。有効なリソースとは、ルールによって保護されるリソース パス全体です。有効なリソースは以下で構成されます。
      • エージェント。
      • 選択したレルムの上に存在する任意の親レルムから連結したリソース フィルタのすべて。
      • [レルム]フィールドで指定されたレルムのリソース フィルタ。
      • [リソース]フィールドに入力したリソース。
      たとえば、以下のエントリを作成するとします。
      • Realm1 のエージェント = Agent1
      • Agent1 の IP アドレス = 123.123.12.12
      • Realm1 で使用するリソースフィルタ = /dir
      • Rule1 のリソース = /myfile.html
      Rule1 で保護されるのは 123.123.12.12/
      Agent1_web_server
      /dir/myfile.html です。
    • Regular Expression
      リソースに、特定のファイルを指定したり、正規表現とのリソース照合を使用した式を入力したりすることができます。
  • 属性 - 許可/拒否と有効/無効
    以下のことを指定できます。
    • このルールが適用されるときに、保護されているリソースへのアクセスを許可するか拒否するか。
    • ルールを有効にするかどうか。
    • アクセスを許可する
      ルールが含まれたポリシーに関連付けられていて、正しく認証されたユーザは、リソースにアクセスできます。
    • アクセスを拒否する
      ルールが含まれたポリシーで指定された認証ユーザのアクセスを拒否します。
    • Enabled (有効)
      ルールを有効にします。
  • 属性 - アクション
    ルールをトリガする Web エージェント アクションまたはイベントを指定します。[アクション]スクロール リストの選択肢は、Web エージェント アクションまたは認証/認可/インパーソネーション イベントを選択するかどうかに応じて変わります。
  • Web エージェント アクション
    [アクション]リストで選択した HTTP アクションにこのルールを適用することを指定します。
    CA SiteMinder® Web Services Security
    がインストールされている場合は、以下のアクションを選択できます。
    • ProcessSOAP
      SOAP エンベロープでラップされた着信 XML メッセージをサポートします。
    • ProcessXML
      (SOAP エンベロープでラップされていない)生の着信 XML メッセージをサポートします。
  • 認証イベント
    [アクション]リストから選択した認証イベントに対してルールが起動するように指定します。
    • OnAuthAccept
      ユーザ認証が正常に行われたときに発生します。このイベントを使用すると、認証が成功した後にユーザをリダイレクトすることができます。
    • OnAuthAcceptCredentials
      ログインの段階でのみ発生します。ユーザ認証情報が示され、新しいセッションの作成が行われます。
    • OnAuthAttempt
      ユーザ名が入力されていないために、ユーザ認証が失敗したときに発生します。
    • OnAuthChallenge
      カスタム認証方式でレスポンスをトリガするために使用されます。
    • OnAuthReject。
      ポリシーにバインドされたユーザの認証に失敗したときに発生します。ルールが起動するためには、ユーザがポリシーに結合されている必要があります。
    • OnAuthUserNotFound
      アクティブ レスポンスを発行するときにのみ使用します。アクティブ レスポンス以外のレスポンスをトリガするためにはこのイベントを使用しません。
  • 許可イベント
    [アクション]リストから選択した許可イベントに対してルールが起動するように指定します。
    • OnAccessAccept
      ユーザがリソースにアクセスすることをポリシー サーバが許可したときに発生します。
    • OnAccessReject
      リソースへのアクセス権がないことが理由でポリシー サーバがユーザの要求を拒否したときに発生します。
  • インパーソネーション イベント
    [アクション]リストから選択したインパーソネーション イベントに対してルールが起動するように指定します。
    • ImpersonationStart
      適切なポリシーに含まれている場合に、インパーソネーション セッションを開始できます。
    • ImpersonationStartUser
      適切なポリシーに含まれている場合に、ユーザのセットを偽装できます。
  • アクション
    選択したイベント タイプの各イベントがリスト表示されます。
  • 詳細設定
    時間制限およびアクティブなルール設定を指定します。
    • 時間制限
      ルールが適用される時間間隔を指定します。[設定]をクリックすると、[時間制限]ダイアログ ボックスが表示されます。
    • アクティブ ルール
    アクティブ ルールとは、API を使用して作成されたカスタム機能です。
    [Library Name]
    アクティブ ルールをサポートする共有ライブラリの名前を指定します。ライブラリの名前にパスを指定することができますが、必須ではありません。パスを指定しない場合、ポリシー サーバはシステムのデフォルト パスを使用して、実行時に共有ライブラリを検索します。共有ライブラリ名にファイル拡張子を含めないでください。
    : 共有ライブラリは Windows プラットフォーム上にあり、名前は lib.dll で、ディレクトリは \
    siteminder_home
    \bin\ です。このライブラリを指定するには、[ライブラリ名]フィールドに
    lib
    と入力します。
    関数名
    アクティブ ルールを実装する共有ライブラリ内の関数を指定します。
    関数のパラメータ
    共有ライブラリの関数に渡すパラメータがリスト表示されます。
    アクティブ ルール
    アクティブ ルール スクリプトを表示します。
[ルール]ダイアログ ボックスの[リソース]フィールドの設定
[ルール]ダイアログ ボックスの[リソース]フィールドでは、ルールが保護するリソースを指定します。リソースには、特定のファイル、もしくは複数のファイルを含めるためのリソース照合や正規表現を使用した式を入力できます。
[リソース]フィールドで指定したリソースは、ルールを含むレルムのリソース フィルタに追加されます。リソース フィルタの最後がスラッシュ(/)で終わる場合は、リソース エントリの先頭に「/」を付けないでください。
  • リソース フィルタが /dir1/ であるとします。
  • リソースが /file.html であるとします。
ルールは誤って /dir1//file.html を保護しようとします。
  • [リソース]フィールドには「file.html」と入力する必要があります。
この場合、ルールは /dir1/file.html を保護します。
スラッシュで終わらないルール
終わりがスラッシュ(/)ではないルールを指定し、その後スラッシュを削除すると、管理 UI によって[リソース]フィールドに自動的にアスタリスク(*)が入力されます。これは、ルールが該当するレルム内あるリソースおよび一致するディレクトリをすべて保護することを示します。
  • リソース フィルタが /dir1 であるとします。
    管理 UI によって自動的にルールにスラッシュ(/)が挿入され、そのスラッシュをユーザが削除したとします。そうすると、[リソース]フィールドにアスタリスク(*)が入力されます。
  • 保護されるリソースは、
    agent
    /dir1* になります。
    このリソースでは、/dir1 にあるものだけでなく、/dir11 や /dir12 などにあるものもすべて保護されます。
    デフォルトのリソース([リソース]フィールドに「/」が挿入された状態)を使用すると、保護されるリソースは
    agent
    /dir1/* となります。つまり、dir1 ディレクトリにあるファイルやディレクトリはすべて対象となり、
    agent
    /dir11 や
    agent
    /dir12 は対象となりません。
リソース フィルタとリソースの組み合わせ
レルムのリソース フィルタとルールのリソースが多少異なっていても、それらを組み合わせて同じ有効な URL を作成することが可能です。
  • /dir1 というリソース フィルタを設定してレルムを作成し、/index.html を保護するルールを追加します。
  • その後、index.html を保護する /dir1/ というリソース フィルタを設定して別のレルムを作成することもできます。これらのレルムとルールの組み合わせは、いずれも
    agent
    /dir1/index.html という URL を作り出します。
/dir1/ は、一致する最も長いレルムであるため、ポリシー処理において優先されます。/dir1/ リソース フィルタを持つレルムを含むポリシーが、/dir1 リソース フィルタを含むポリシーよりも常に優先されます。このことから、/dir1 リソース フィルタを使ってレルム ルールの組み合わせを含むポリシーを作成した管理者にとっては、予期しない状況になることもあります。