この記事は、intra-mart Advent Calendar 2013 第10日の記事です。
今回は「認可サブジェクトの拡張方法」をご紹介したいと思います。
intra-mart Accel Platform 2013 Spring より、以下の認可サブジェクトが追加されました。
-
テナント管理 / IPv4 アドレス(im_authz_ipv4)
- アクセス元の IPv4 アドレスを使用した認可設定ができるようになりました。
-
テナント管理 / 認証 (im_authz_meta_subject)
- ゲストユーザ や 認証済みユーザを対象者として追加可能となりました。
画面で言うと、これです。
この認可サブジェクト、実は、開発者が独自に追加可能なんです!
intra-mart Accel Platform で標準的にサブジェクトとして設定可能なものは「ロール」や「組織」といった情報のみですが、
独自のサブジェクトを追加することにより、アプリケーション独自のユーザ情報を使った認可設定を行うことができるようになります。
intra-mart Accel Platform では標準的に以下のようなサブジェクトを提供しています。
- 認証状態
- ロール
- ユーザ
- 組織、役職
- パブリックグループ、役割
- IPアドレス
これによって特定の組織に所属するユーザに対して権限を与えるといったことが可能になっています。
上記以外の解釈でユーザを分類して権限管理をしたい場合にはサブジェクトの拡張機能を作成することで、認可機構に追加して利用できるようになります。
おおまかな流れは、以下の通りです。
- サブジェクトの定義
- 認可機構へのプラグイン実装
- ポリシー部分編集設定の編集
1. サブジェクトの定義
サブジェクトの定義 を行います。
サブジェクトの特徴を表現するためにサブジェクトの定義を行います。
すでにあるマスタデータなどを連携したい場合は、単純にそのデータを表すもの(キー情報など)で良いでしょう。
そうでない場合、サブジェクトを表すのに必要な要素を定義します。
この時に、ユーザに対して自明なサブジェクトか、そうでないかを明確にしておきます。
- ユーザに対して自明 → ログイン時に判断可能。
- ユーザに対して自明ではない → 認可要求時でなければ判断できない。
2. 認可機構へのプラグイン実装
認可機構へのプラグイン実装を追加します。
最大で以下の4種の実装が必要です。
-
SubjectType ( 図中 1 )
- サブジェクトのモデルと認可のサブジェクト情報の相互変換、シリアライズを担当します。
-
SubjectResolver ( 図中 2-a 及び 2-b )
- ユーザが何者であるかを判断する処理です。これも新たに追加するサブジェクトモデルの情報を取り扱うための実装を追加します。
- 取り扱う情報の特性によって2種の実装の内どちらか ( 図中 2-a 及び 2-b ) を選択します。
-
認可サブジェクトコンテキストのデコレータ ( 図中 3 )
- 認可サブジェクトコンテキストはユーザが何者であるかをコンテキストとして保持していますが、このコンテキストに新たに追加するサブジェクトモデルの情報を取り扱うためのデコレータを追加します。
- SubjectResolver の実装で 2-b を選択している場合はこれは必要ありません。
-
検索画面 ( 図中 4 )
- 認可設定画面でユーザがサブジェクトとして選択できるようにするための画面拡張を追加します。
3. ポリシー部分編集設定の編集
ポリシー部分編集設定 を編集してリソースグループセット(特定のルート配下のリソースツリー)毎に利用するサブジェクトタイプを設定します。
以上を実施すると、独自のサブジェクトを追加することが可能となります。
詳細は、「認可 拡張プログラミングガイド」の「 サブジェクト拡張ガイド 」をご参照ください。
「認可 拡張プログラミングガイド」では、サンプルとして
「ユーザの勤続月数(ユーザのプロファイルの有効期間)」と「データの所有者(リソースオーナー)」という情報をサブジェクトとして扱う方法を解説しています。
サンプルをご活用いただき、アプリケーションにマッチしたサブジェクトの拡張をご検討いただければと思います。
