Citrix ADC

高度な認証ポリシーの構成

認証ポリシーの構成方法が正確にわかっている場合は、[高度な認証ポリシー] ダイアログを使用してポリシーをすばやく作成できます。

構成ユーティリティを使用して高度な認証ポリシーを構成するには

  1. [セキュリティ] > [AAA-アプリケーショントラフィック] > [ポリシー] > [認証] > [高度なポリシー] に移動し、[ポリシー] を選択します。
  2. 詳細ウィンドウで、次のいずれかの操作を行います。

    • 新しいポリシーを作成するには、[Add] をクリックします。
    • 既存のポリシーを変更するには、ポリシーを選択し、[Edit] をクリックします。
  3. [認証ポリシーの作成] または [認証ポリシーの構成] ダイアログボックスで、パラメーターの値を入力または選択します。

    • Name:ポリシー名。以前に構成されたポリシーでは変更できません。
    • [アクションタイプ] -ポリシータイプ:[証明書]、[ネゴシエート]、[LDAP]、[RADIUS]、[SAML]、[SAMLIDP]、[TACACS]、または [WEBAUTH]。
    • Action:ポリシーに関連付ける認証アクション(プロファイル)。既存の認証アクションを選択するか、プラスをクリックして適切なタイプの新しいアクションを作成できます。
    • Log Action-ポリシーに関連付ける監査アクション。既存の監査アクションを選択するか、プラスをクリックして新しいアクションを作成できます。
    • Expression-指定したアクションを適用する接続を選択するルール。ルールは、シンプル(「true」はすべてのトラフィックを選択)または複雑にすることができます。式を入力するには、まず [式] ウィンドウの下の左端のドロップダウンリストで式のタイプを選択し、次に式のテキスト領域に式を直接入力するか、[追加] をクリックして [式の追加] ダイアログボックスを開き、その中のドロップダウンリストを使用して式で指定します)。
    • Comment:この認証ポリシーが適用されるトラフィックの種類を説明するコメントを入力できます。オプションです。
  4. [作成] または [OK] をクリックし、[閉じる] をクリックします。ポリシーを作成した場合、そのポリシーが [認証ポリシーとサーバー] ページに表示されます。

ユーザーに関連付けられたグループをチェックするための式の構成

Citrix ADCアプライアンスには、ユーザーが次の可能性を確認するためのオプションが用意されました。

  • 現在のユーザーが上記のグループのいずれかに属しているかどうかを確認します。
  • 現在のユーザーがすべてのグループのメンバーであるかどうかを確認します。

ユーザーに関連付けられたグループをチェックするために、次の 2 つの新しい式が導入されました。

  • Is_member_of_any - この式を使用して、現在のユーザーが関連付けられたパッチセット内の前述のグループのいずれかに属しているかどうかを確認できます。

CLI を使用して Is_member_of_any 式を構成するには

コマンドプロンプトで、次のように入力します。

-  add policy patset groups_patset
-  bind patset groups_patset mygroup1
-  bind patset groups_patset mygroup2
-  add expression any_group_check   "aaa.user.is_member_of_any(\"groups_patset\")"

メモ

上記の式は、ユーザーが mygroup1 または mygroup2 のいずれかに属している場合は true を返します。

  • Is_member_of_all -この式を使用して、ユーザーがパッチセットによって参照されるすべてのグループのメンバーであるかどうかを確認できます。

CLI を使用して Is_member_of_all 式を構成するには

コマンドプロンプトで、次のように入力します。

-  add policy patset groups_patset
-  bind patset groups_patset mygroup1
-  bind patset groups_patset mygroup2
-  add expression any_group_check "aaa.user.is_member_of_all(\"groups_patset\")"

メモ

上記の式は、ユーザーが mygroup1 と mygroup2 の両方に属している場合に true を返します。

高度な認証ポリシーの構成