アクセスポリシー設定の例

セキュアなプライベートアクセス(ZPA)

アクセスポリシー設定の例

組織の特定のニーズを満たすようにアクセスポリシーの設定を行うことができます。さまざまなポリシータイプと、ZPAがポリシーを適用する順序の詳細については、[ポリシーについて]を参照してください。

次の例は、さまざまなシナリオに対応したポリシーの最適な設定方法を示しています。

すべてのApplication Segmentsまたはセグメントグループへのユーザーアクセスを許可する
任意のアプリケーションセグメントまたはセグメントグループへの任意のユーザーのアクセスを許可する。
1. [アクセスポリシーの追加]ウィンドウの[ルールのアクション]で、[アクセスを許可]を選択します。
2. [基準]の下で、[Application Segments]および[セグメントグループ]のフィールドをブランクのままにし、SAML属性フィールドをIdPからの任意のSAML属性に設定します。特定のApplication Segment、セグメントグループ、またはSAML属性を選択しないことで、ポリシールールで(任意のIdPの)すべてのユーザーにApplication Segmentおよびセグメントグループへのアクセスを許可する必要があることを示します。
3. 保存をクリックします。
閉じる
特定のユーザーに特定のセグメントグループへのアクセスを許可する
この設定は、グループ化したいアプリケーションのセットがあり、そのアプリケーションのセットにアクセスできる人を指定したい場合に便利です。たとえば、組織内のすべてのユーザーにアクセスを許可する一連のアプリケーション(イントラネットアプリケーションとベネフィットアプリケーション)があるとします。この例では、この設定を使用してポリシールールをセットアップします
1. セグメントグループを作成する、これには、ポリシーを構成するアプリケーションが含まれます。
2. [アクセスポリシーの追加]ウィンドウの[ルールのアクション]で、[アクセスを許可]を選択します。
3. Criteriaで：
  1. Segment Groupsの場合、ステップ1で作成したセグメントグループ(例：HR App Group)を選択します。
  2. この例では、SAML属性については、このフィールドをIdP からの任意のSAML属性に設定したままにします。これにより、ユーザーのシングルサインオン(SSO)用に設定した任意のIdPのすべてのユーザーにポリシールールが適用されます。
組織に複数のIdPが構成されていて、このポリシールールを特定のポリシールールにのみ適用する場合は、[IdPの選択]をクリックして選択し、ドロップダウンメニューから[任意のSAML属性]を選択します。
1. 保存をクリックします。
閉じる
。

別の例では、特定の部署のユーザーだけがアクセスできるようにしたいアプリケーションのセットがあるとします(たとえば、営業部門のユーザーだけがアクセスできる人事アプリケーションなど)。この例では、この設定を使用してポリシールールを設定します
1. セグメントグループを作成する、これには、セールス部署のユーザーのみにアクセスを許可するアプリケーションが含まれます。
2. [アクセスポリシーの追加]ウィンドウの[ルールのアクション]で、[アクセスを許可]を選択します。
3. Criteriaで：
  1. Segment Groupsの場合、ステップ1で作成したセグメントグループ(例：HR App Group)を選択します。
  2. SAML Attributesの場合：
    [IdPの選択]をクリックし、ポリシールールに含めるIdP設定を選択します。IdPはユーザーSSO用に設定する必要があります。
    
    使用するSAML属性(部署など)をドロップダウンメニューから選択し、適切なエントリー(セールスなど)を指定します。
4. 保存をクリックします。
閉じる
。
閉じる
特定のユーザーにApplication Segmentsまたはセグメントグループへのアクセスを許可する
この設定は、組織内のすべてのアプリケーションにアクセスできる必要があるユーザー(IT組織のユーザーなど)がいる場合に有効です。

特定のユーザーにApplication Segmentsまたはセグメントグループへのアクセスを許可するには次の手順に従います。
1. [アクセスポリシーの追加]ウィンドウの[ルールのアクション]で、[アクセスを許可]を選択します。
2. Criteriaで：
  1. [Application Segments]フィールドと[セグメントグループ]フィールドを空白のままにします。特定のアプリケーションまたはセグメントグループを入力しないことで、ポリシーをすべてのアプリケーションセグメントまたはセグメントグループに適用する必要があることを示します。
  2. SAML Attributesの場合：
    1. [IdPの選択]をクリックし、ポリシールールに含めるIdP設定を選択します。IdPはユーザーSSO用に設定する必要があります。
    2. 使用するSAML属性(グループなど)をドロップダウンメニューから選択し、適切なエントリー(ITスタッフなど)を指定します。
3. 保存をクリックします。
閉じる
特定のユーザーに特定のApplication Segmentsまたはセグメントグループへのアクセスを許可する
特定のユーザーに特定のApplication Segmentsまたはセグメントグループへのアクセスを許可する手順は次の通り。
1. [アクセスポリシーの追加]ウィンドウの[ルールのアクション]で、[アクセスを許可]を選択します。
2. Criteriaで：
  1. ドロップダウンメニューから、設定したApplication Segmentsまたはセグメントグループ を選択します。この例では、[すべてのマーケティングアプリ]Application Segmentが選択されました。これにより、[マーケティング部]のユーザーは[すべてのマーケティングアプリ]アプリケーションにアクセスできるようになります。
  2. SAML Attributesの場合：
    1. [IdPの選択]をクリックし、ポリシールールに含めるIdP設定を選択します。IdPはユーザーSSO用に設定する必要があります。
    2. ドロップダウンメニューから使用するSAML属性(グループなど)を選択し、適切なエントリー(マーケティング部など)を指定します。
3. 保存をクリックします。
閉じる
アプリケーションセグメントやセグメントグループへの特定ユーザーのアクセスをブロックする
特定のユーザーがApplication Segmentsまたはセグメントグループにアクセスできないようにする手順は次の通りです。
1. [アクセスポリシーの追加]ウィンドウの[ルールのアクション]で、[アクセスのブロック]を選択します。
2. Criteriaで：
  1. [Application Segments]フィールドと[セグメントグループ]フィールドを空白のままにします。特定のApplication Segmentsまたはセグメントグループを選択しないことで、ポリシーをすべてのApplication Segmentsまたはセグメントグループに適用する必要があることを示します。
  2. SAML Attributesの場合：
    1. [IdPの選択]をクリックし、ポリシールールに含めるIdP設定を選択します。IdPはユーザーSSO用に設定する必要があります。
    2. 使用するSAML属性(グループなど)をドロップダウンメニューから選択し、適切なエントリー(せーするなど)を指定します。
3. 保存をクリックします。
ポリシールールはリストされている順序で適用されるため、ブロックするユーザーがアクセスを許可する別のアクセスポリシールールの対象である場合は、その許可ポリシーをこのブロックポリシーの後にリストする必要があります。たとえば、2つのアクセスポリシールールがあり、1つはアクセスを許可するルール、もう1つはブロックする場合、次の順序でリストする必要があります。
1. Block Policy：Salesグループ内のユーザー(特定のIdPを使用して認証)を、あらゆるアプリケーションセグメントまたはセグメントグループからブロックします。
1. Allow Policy：他のユーザー(他のIdPから認証されたユーザー)が、任意のアプリケーションセグメントまたはセグメントグループにアクセスすることを許可します。
この例では、[アクセスポリシー]ページ内のルールの順序は次のようになります。

閉じる
特定のApplication Segmentsまたはセグメントグループへの特定のユーザーアクセスをブロックする
特定のユーザーが特定のアプリケーションやセグメントグループにアクセスできないようにすることができますが、これは特定の状況下でのみ必要なことです。既定では、アプリケーションのポリシールールを構成するまで、ユーザーはアプリケーションまたはセグメントグループへのアクセスをブロックされます。アプリケーションとセグメントグループにアクセスできるのは、ポリシールールを明示的に構成した場合のみです。したがって、ユーザーのアクセスを拒否するポリシールールを構成することは、次の状況でのみ役立ちます。
- Application Segmentsまたはセグメントグループからブロックされているユーザーの数は、アクセス権を持つユーザーの数に比べて比較的少ないです。たとえば、組織でApplication Segmentsまたはセグメントグループをほとんどのユーザーが使用できるようにし、少数のユーザーのみをブロックする場合は、特定のユーザーをブロックするアクセスポリシーを作成してから、他のユーザーを許可する別のアクセスポリシーを作成します。この例では、この設定を使用してポリシールールをセットアップします
  1. [アクセスポリシーの追加]ウィンドウの[ルールのアクション]で、[アクセスのブロック]を選択します。
  2. Criteriaで：
    ドロップダウンメニューから、設定した[Application Segments]または[セグメントグループ]を選択します。この例では、イントラネットアプリケーションが選択されています。
    
    SAML属性の場合、次の通りです。
    [IdPの選択]をクリックし、ポリシールールに含めるIdP設定を選択します。IdPはユーザーSSO用に設定する必要があります。
    
    ドロップダウンメニューから使用する SAML属性(グループなど)を選択し、適切なエントリー、この場合はブロックするユーザーグループ(臨時社員など)を指定します。
  3. 保存をクリックします。
  1. Access Policyページで、Add Ruleを再度クリックします。
  2. [アクセスポリシーの追加]ウィンドウの[ルールのアクション]で、[アクセスを許可]を選択します。
    [Application Segments]フィールドと[セグメントグループ]フィールドを空白のままにします。特定のApplication Segmentsまたはセグメントグループを選択しないことで、ポリシーをすべてのApplication Segmentおよびセグメントグループに適用する必要があることを示します。
    
    SAML Attributesの場合：
    Select IdPをクリックし、上記のステップ2bで含めたのと同じIdP設定を選択します。
    
    ドロップダウンメニューからAny SAML Attributeを選択します。
  3. 保存をクリックします。
  閉じる
  。
- 特定のユーザーグループにApplication Segmentsまたはセグメントグループへのアクセスを許可するだけでなく、そのグループ内の個々のユーザーもブロックする場合を想定します。この例では、この設定を使用してポリシールールをセットアップします
  1. [アクセスポリシーの追加]ウィンドウの[ルールのアクション]で、[アクセスのブロック]を選択します。
  2. Criteriaで：
    ドロップダウンメニューから、設定した[Application Segments]または[セグメントグループ]を選択します。この例では、セールスアプリグループが選択されました。
    
    SAML属性の場合、次の通りです。
    [IdPの選択]をクリックし、ポリシールールに含めるIdP設定を選択します。IdPはユーザーSSO用に設定する必要があります。
    
    使用するSAML属性、この場合はブロックするグループ内のユーザー(Emailアドレスなど)を選択し、適切なエントリー(jane.doe@example.comなど)指定します。
  3. 保存をクリックします。
  1. Access Policyページで、Add Ruleを再度クリックします。
  2. 新しい[アクセスポリシーの追加]ウィンドウの[ルールのアクション]で、[アクセスを許可]を選択します。
    ドロップダウンメニューから、設定した[Application Segments]または[セグメントグループ]を選択します。この例では、セールスアプリグループが選択されました。
    
    SAML Attributesの場合：
    Select IdPをクリックし、上記のステップ2bで含めたのと同じIdP設定を選択します。
    
    使用するSAML属性、この場合は許可するグループ(グループなど)を選択し、適切なエントリー(営業など)を指定します。
  3. 保存をクリックします。
  閉じる
  。
閉じる

セキュアなプライベート アクセス(ZPA)

アクセスポリシー設定の例

この記事は役に立ちましたか？下のアイコンをクリックしてご意見をお寄せください。

関連記事s

セキュアなプライベートアクセス(ZPA)