ポリシー・ルールの管理

新しいポリシーのポリシー規則を管理するか、既存のポリシーを編集する際に。

このタスクについて

ポリシーを作成するとき、またはポリシーを編集するときにポリシー・ルールを追加できます。

における Verify ポリシーのルール評価は、評価順序に基づいて行われます。評価に成功した最初のルールが、要求に適用されるルールになります。ルールがリストされている順序は、ポリシーの結果にとって重要です。特定のビジネス・ユース・ケースに合わせてポリシーおよびそのルールを評価できるようにルールを順序付けることができます。 2.d を参照してください。

手順

ルールを追加します。

[セキュリティ ] > [アクセスポリシー ] > [ポリシーの追加] から、または既存のポリシーを編集して、 [新しいルールを追加 ] ボタンに移動します。
「新しいルールを追加」をクリックします。
ルール名を入力します。
（任意）： ルールの説明を入力してください。
「次へ」をクリックします。

条件の種類、属性、演算子、および値を選択してください。

条件カテゴリーを選択すると、選択された条件タイプに従って、メニュー内の操作がフィルタリングされます。

注：ネイティブアプリのポリシーの「最初にコンタクトするルール」では、以下の条件タイプが利用可能です。

ロケーション属性
- ネットワークの場所 (IP)
- 国
- 市区町村
OIDC/OAUTH コンテキスト
- client_type

表 1. 政策の選択肢
この表は、「条件のタイプ」属性をリストしています。条件は、OIDC/OAuth コンテキスト、カスタム属性、デバイス属性、ロケーション属性、およびユーザー属性でソートされます。
条件のタイプ	操作	条件値
適応型アクセスこれらの属性は、ポリシーで適応型アクセスが選択されている場合に使用可能です。
新規デバイス	次と一致次と等しくない	検出。
新しい地理位置情報	次と一致次と等しくない	検出。
高リスクのデバイス	次と一致次と等しくない	検出。
高リスクの接続	次と一致次と等しくない	検出。
国	いずれかを含むいずれも含まない	条件値を指定します。
市区町村	いずれかを含むいずれも含まない	条件値を指定します。
インターネット・サービス・プロバイダー	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
リモート IP	いずれかを含むいずれも含まない	条件値を指定します。
動作の異常	次と一致次と等しくない	検出。
OIDC/OAUTH コンテキスト
acr_values	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
claims	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
client_type	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
code_challenge_exist	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
redirect_uir_scheme	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
request_type	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
response_method	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
response_mode	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
response_type	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
scope	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	条件値を指定します。
カスタム属性
`追加した任意の属性`	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。属性の先頭属性の末尾属性が存在する (値なし)	条件値を指定します。
デバイス属性
新規デバイス	次と一致	検出。
デバイスのプラットフォーム	いずれかを含むいずれも含まない	1 つ以上のプラットフォームを選択します。
デバイス・コンプライアンス	いずれかを含むいずれも含まない	1 つ以上のコンプライアンス状態を選択します。
ロケーション属性これらの属性は、ポリシーで適応型アクセスが選択されている場合は使用不可です。
ネットワークの場所 (IP)	いずれかを含むいずれも含まない	IP アドレスまたは IP アドレスのコンマ区切りリスト、IP 範囲、あるいはサブネット付きの IP アドレスを指定します。
位置履歴	次と一致次と等しくない	検証済み。
国	いずれかを含むいずれも含まない	以下の ISO 規格に基づいて、1 つの国、または 3 文字の国別コードのコンマ区切りリストを指定します。 https://en.wikipedia.org/wiki/ISO_3166-1_alpha-3 を参照してください。
市区町村	いずれかを含むいずれも含まない	条件値を指定します。
ユーザー属性
グループ・メンバーシップ	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	グループ、またはグループのコンマ区切りリストを指定します。注：カンマ区切りの Active Directory グループ名は、必ず二重引用符で囲む必要があります。例えば、以下のとおりです。`“cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.`
realmName	値が属性に存在すること。値が属性に存在しないこと。少なくとも 1 つの値が属性に存在すること。	レルムの名前を指定します。

（任意） ：「条件を追加」をクリックして、ポリシールールに条件の種類や演算子をさらに追加します。
ポリシーのアクションをメニューから選択します。
- 詳細を確認するには、こちらへ移動してください
- ブロック (オーバーライド)
- MFA (オーバーライド)
- 許可 (オーバーライド)
- ブロックしてリダイレクト
- ブロック
- 常に MFA
- セッションごとに MFA
- 続行
- 許可
注：ネイティブアプリポリシーでは、「ブロック」および「確認」アクションのみ利用可能です。チャレンジを選択する場合は、1 つ以上の認証方式を指定してください。
- FIDO2
- パスワード
- QR コード
「保存」をクリックします。
ルール・タイプが、ポリシー・ルールのリストに追加されます。

ルールを編集または削除します。
1. [ ] をクリックして、ルールを変更したいポリシーを開いてください。
2. [ポリシールール] セクションで、編集したいルールの [ ] をクリックします。
  ルール名の変更、条件の追加、既存の条件操作コードまたは値の変更、またはルールのアクションの変更を行うことができます。
3. 「保存」をクリックします。
4. オプション： 「ポリシールール」セクションでは、オーバーフローメニューアイコンを使用して、ルールの評価順序を並べ替えることができます。
  評価は降順に実行されます。デフォルトのルールは、常に順序の最後尾になります。
5. （任意） ：[ポリシールール] セクションで、オーバーフローメニューアイコンをクリックしてルールを削除できます。
6. 「保存」をクリックします。