Active Directory グループと一致するアクセス ポリシー グループを作成するにはどうしますか。

質問

Active Directory(AD)グループと一致するアクセスポリシーグループを作成するにはどうすればよいのですか。

最初の手順では、認証レルム(NT LAN Manager(NTLM)レルム)と、認証レルムを使用するアイデンティティを設定します。

1. Webセキュリティアプライアンス(WSA)でNetwork > Authenticationの順に選択し、NTLMレルムを作成します。
2. NTLMレルムを設定したら、Web Security Manager > Identitiesの順に選択し、Add Identityをクリックします。
3. アイデンティティを作成するには、次の手順に従います。
   1. 名前： Auth.Id
   2. 上に挿入： 1
   3. 認証によるメンバの定義： <NTLM領域名>
   4. スキーム： BasicまたはNTLMSSPを使用またはNTLMSSPを使用する
   5. その他の設定はすべてデフォルトのままにします。
      選択したクライアントに対して認証をテストする場合は、Define Members By Subnetを使用して、要求元クライアントのIPを指定します。これにより、WSAはこれらの選択されたクライアントに対してのみ認証を要求できます。
   6. [Submit] をクリックします。

この時点では、Auth.IdとGlobal Identity Policyの2つのIDのみが存在し、Auth.Id Identityで認証が有効になっている必要があります。

次の手順では、Auth.Id IDを使用し、このIDに基づいてアクセスポリシーを作成します。アクセスポリシーで必要なADグループまたはユーザを指定できます。
0.-------------------------------------------------------------------------------------

1. GUI > Web Security Manager > Access Policiesの順に選択します。
2. Add Policyをクリックします。
3. アクセスポリシーを作成するには、次の手順を実行します。
   1. ポリシー名： Sales.Policy
   2. 上にポリシーを挿入： 1
   3. アイデンティティポリシー：Auth.Id：許可グループとユーザを指定します。
   4. グループ名を手動で入力するか、Refresh DirectoryをクリックしてAD上に存在するユーザのリストを取得します。ユーザを選択したら、Addをクリックします。
   5. 完了したら、Submitをクリックします。

別のアクセスポリシーを作成する必要がある場合は、Add Policyをクリックし、新しいADグループに別のアクセスポリシーを作成します。

同じ認証レルムに対して新しいアイデンティティを作成しないでください。プロキシポート、URLカテゴリ、ユーザエージェント、またはサブネットによるメンバーの定義にIDがバインドされていない限り、既存のID(Auth.Id)を再利用して、異なるADグループに新しいアクセスポリシーを作成します。

異なるADグループを使用する複数のアクセスポリシーの場合、設定は次のようになります。
0.-------------------------------------------------------------------------------------

Identity

「Auth.Id」
「グローバルアイデンティティポリシー」

アクセスポリシー

「Auth.Id」を使用した「Sales.Policy」
「Auth.Id」を使用した「Support.Policy」
「Auth.Id」を使用した「Manager.Policy」
「Auth.Id」を使用した「Admin.Policy」
「All」を使用した「グローバルポリシー」