Citrix ADC

アプリケーションリソースへのユーザーアクセスの許可

認証されたユーザーがアプリケーション内でアクセスできるリソースを制御できます。

これを行うには、認可ポリシーを各ユーザーに関連付けて、個別に、またはポリシーをユーザーのグループに関連付けます。認可ポリシーでは、次の項目を指定する必要があります。

  • Rule. アクセスを許可する必要があるリソース。これは、基本式または高度な式を使用して指定できます。
  • アクション。リソースへのアクセスを許可または拒否する必要があるかどうか。

デフォルトでは、アプリケーション内のすべてのリソースへのアクセスは、すべてのユーザーに対して 拒否 されます。ただし、このデフォルトの認可アクションを [すべてのユーザーにアクセスを 許可する] に変更できます(セッションプロファイルでセッションパラメータを設定するか、グローバルセッションパラメータを設定することによって)。

警告

最適なセキュリティを確保するために、デフォルトの認証操作を「拒否」から「許可」に変更しないことをお勧めします。代わりに、特定のリソースにアクセスする必要があるユーザーに対して、特定の承認ポリシーを作成することをお勧めします。

CLI を使用して認可を設定するには

  1. 認可ポリシーを設定します。

    ns-cli-prompt> add authorization policy <name> <rule> <action>

  2. ポリシーを適切なユーザーまたはグループに関連付けます。

    • ポリシーを特定のユーザーにバインドします。

      ns-cli-prompt> bind aaa user <username> -policy <policyname>

    • ポリシーを特定のグループにバインドします。

      ns-cli-prompt> bind aaa group <groupName> -policy <policyname>

GUI を使用して承認を構成するには ([構成] タブ)

  1. 認可ポリシーを作成します。

    [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認可] に移動し、[追加] をクリックして、必要に応じてポリシーを定義します。

  2. ポリシーを適切なユーザーまたはグループに関連付けます。

    [セキュリティ] > [AAA-アプリケーショントラフィック] > [ユーザ または グループ] に移動し、関連するユーザまたはグループを編集して認可ポリシーに関連付けます。

認証設定の例

次に、一部のアプリケーションリソースへのユーザーアクセスを許可する設定例を示します。これらは CLI コマンドであることに注意してください。GUI を使用して同様の設定を行うことができますが、式を引用符 (「) で囲むことはできません。

  • add authorization policy authzpol1 "HTTP.REQ.URL.SUFFIX.EQ(\"gif\")" ALLOW

  • bind aaa user user1 -policy authzpol1

  • add authorization policy authzpol2 "HTTP.REQ.URL.SUFFIX.EQ(\"png\")" DENY
  • bind aaa group group1 -policy authzpol2

アプリケーションリソースへのユーザーアクセスの許可