一元化されたポリシーベースのWebアクセス管理
次に、Webアプリケーションに対するアクセス管理に関して説明します。ポリシーサーバが、ユーザによるアクセスを許可/拒否する仕組みを提供することは前述のとおりです。この仕組みは、事前にポリシーサーバにおいて定義されたポリシー(アクセス制御のルール)を元に提供されます。では具体的にどのようなポリシーを用いて、アクセス管理を行っているのでしょうか(図2)。
アクセス制御を定義するポリシーは、以下の三要素が必須となります。
- 保護したいWebリソース
- ユーザやユーザグループ
- レスポンスまたはレスポンスグループ
保護したいWebリソースを、URLで指定します。正規表現による柔軟な定義が可能です。
制御をかけたいユーザやグループを指定します。ユーザストアから特定のユーザやグループや組織を選んだり、LDAP検索式により指定したりすることが可能です。
リソースにユーザがアクセスした結果の返答を指定します。表示するページを指定したり、HTTPヘッダに値を埋め込んだりすることができます。
上記の一般的な要素に加え、下のような項目をオプション的にポリシーに追加することが可能です。
- eTelligentルール
- 日付や時刻
- IPアドレス
- アクティブレスポンス
ポリシーの中にユーザの属性情報を組み込んだり、外部アプリケーションやWebサービスにより呼び出されるデータを利用したりすることができます。
ポリシーが適用される日付や時刻をカレンダーなどから選択することができます。
定義したポリシーを適用するIPアドレスを定義します。ホスト名で指定したりサブネットマスクなどで範囲を指定したりすることも可能です。
ユーザから受け取った認証情報を外部アプリケーションやデータベースへ渡し、その処理結果をポリシーの中で利用することが可能です。
このように、定義するポリシーによって、細かいWebアクセス制御をかけられるようになります。
この記事は参考になりましたか?
- Webアクセス管理が実現する企業セキュリティとコンプライアンス連載記事一覧
-
- 企業間での作業を安全かつ円滑に行うためのフェデレーションとは
- Webアプリケーションの統合認証をソフトウェアで実現する
- セキュリティ基盤とビジネス拡張を同時に実現するWebアクセスマネジメントとは?
- この記事の著者
-
日本CA 兼岡 禎朗(カネオカ ヨシアキ)
日本CA株式会社 ソリューション技術本部 プロダクトソリューション統括部 コンサルタント。日本CAのアクセス管理製品であるCA Access Controlを担当したことが、セキュリティとの出会いとなる。現在はセキュリティソリューションのプリセールス活動に従事。最近特に注目されているアイデ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
