一元化されたポリシーベースのWebアクセス管理
次に、Webアプリケーションに対するアクセス管理に関して説明します。ポリシーサーバが、ユーザによるアクセスを許可/拒否する仕組みを提供することは前述のとおりです。この仕組みは、事前にポリシーサーバにおいて定義されたポリシー(アクセス制御のルール)を元に提供されます。では具体的にどのようなポリシーを用いて、アクセス管理を行っているのでしょうか(図2)。
図2.アクセス制御ポリシー
アクセス制御を定義するポリシーは、以下の三要素が必須となります。
- 保護したいWebリソース
- ユーザやユーザグループ
- レスポンスまたはレスポンスグループ
保護したいWebリソースを、URLで指定します。正規表現による柔軟な定義が可能です。
制御をかけたいユーザやグループを指定します。ユーザストアから特定のユーザやグループや組織を選んだり、LDAP検索式により指定したりすることが可能です。
リソースにユーザがアクセスした結果の返答を指定します。表示するページを指定したり、HTTPヘッダに値を埋め込んだりすることができます。
上記の一般的な要素に加え、下のような項目をオプション的にポリシーに追加することが可能です。
- eTelligentルール
- 日付や時刻
- IPアドレス
- アクティブレスポンス
ポリシーの中にユーザの属性情報を組み込んだり、外部アプリケーションやWebサービスにより呼び出されるデータを利用したりすることができます。
ポリシーが適用される日付や時刻をカレンダーなどから選択することができます。
定義したポリシーを適用するIPアドレスを定義します。ホスト名で指定したりサブネットマスクなどで範囲を指定したりすることも可能です。
ユーザから受け取った認証情報を外部アプリケーションやデータベースへ渡し、その処理結果をポリシーの中で利用することが可能です。
このように、定義するポリシーによって、細かいWebアクセス制御をかけられるようになります。
