OpenAM グループによるアクセス制御

2024-04-192024
29.9% (109.6/366)
April
62% (18.6/30)
Week 16
65.9% (4.6/7)
Day 19 Fri
61.9% (14.8/24)

訪問者

total: 15814
today: 7
yesterday: 0
now: 18

↑

更新

MenuBar

何をやりたいか?
権限制御ができるようにする
公開ページ(public)の設定
メンバーのみ閲覧可能(private)の設定
特権ユーザのみ閲覧可能(secure)の設定
実行結果1 (jiro [employeeグループ])
実行結果2 (ichiro [executiveグループ])

何をやりたいか? †

OpenAM のグループによって、閲覧できるページを変更したい

URL	公開範囲	権限制御仕様
http://～/public/*	公開	OpenAMでログイン不要
http://～/private/*	メンバーのみ閲覧可能	OpenAMでログインできれば閲覧可能
http://～/secure/*	特権ユーザのみ閲覧可能	executive グループに属するユーザのみ閲覧可能

ユーザは 2 人
User ID Group
ichiro executive
jiro employee

User ID	Group
ichiro	executive
jiro	employee

↑

権限制御ができるようにする †

OpenAM Web Agent のつづき
[アクセス制御]-[/(最上位のレルム)]-[エージェント]-[Web]-[Apache22Agent の設定]-[グローバル] で、「SSO のみモード」を無効にする
- 「SSO のみモード」にすると、ユーザ名・パスワードの組が合っていれば、Agent の管理対象になっている資産( URL )にアクセスできる。逆に「SSO のみモード」では権限によるアクセス制御は一切できない
- 「SSO のみモード」を外すと、Policy で設定した権限がないと資産( URL )にアクセスできない。Policy を一つも設定していないと、ユーザ名・パスワードの組が合っていても、どの資産( URL )も You don't have permission to access / on this server. になる

↑

公開ページ(public)の設定 †

Agentの設定で /public/* をSSOの適用除外にする

↑

メンバーのみ閲覧可能(private)の設定 †

[アクセス制御]-[/(最上位のレルム)]
[ポリシー]
ポリシーを作成する (新規)

ルール作成

URLポリシーエージェント
private/* を設定

同様にして、private/*?* のルールも作成する。

The wildcard '*' in policy URLs does not match '?'. As such if you wish to
allow GET parameters to be submitted then a second policy for
http://webserver.example.com/*?* is required.

(OpenAM How Do I? より)