この記事は、intra-mart Advent Calendar 2013 第6日の記事です。
あまり知られていないであろう機能を紹介する今年のAdvent Calendar、今回は、あまり知られていないどころか、まだ公開されていない隠し機能「認可設定状況確認(/tenant/authz/view)」をご紹介したいと思います。
intra-mart Accel Platform では、きめ細かなアクセス制御が可能な「認可機構(im-authz)」が備わっています。
@IT セキュリティ用語辞典によりますと、認可とは、「認証によって確認された利用者を識別して、アクセス権限の制御を行い、利用者ごとに固有のサービスを提供すること。」とあります。
これをもっと単純化すると、、、
「誰が」「何を」「どうする」 を
「許可」 または 「禁止」で判定すること。
と言い換えることができます。
intra-mart Accel Platform では、 「誰が」「何を」「どうする」 を 「許可」「禁止」 で判定する共通的な認可機能の仕組みを提供し、これらの情報をマトリクス形式で管理することが可能になっています。これにより、きめ細かいアクセス制御を実現可能にしつつ、マトリクス形式の図解特性を生かした直感的なメンテナンス、および、設定状況の閲覧性を向上させています
ここで、ブラウザのアドレスバーに「http://<HOST>:<PORT>/<CONTEXT_PATH>/tenant/authz/view」と入力してみてください。
「認可設定状況確認」画面が表示されたかと思います。
この画面では、iAPに登録されている認可リソース 全て の状況が一覧表示されます。つまり、iAP上のアクセス制御設定、その全てを確認することが可能な画面なのです。
検索機能も通常の認可設定画面と同じ機能を実装しておりますので、特定の権限状況を素早く確認したい場合や、アクセス制御の設定状況を全体的に俯瞰したい場合等にご利用ください。
ちなみに、im-authzでは、権限の変更をする必要のないリソースを格納するための「HTTPサービス(設定不可)」というリソースグループセットが定義されているのですが、このリソースグループセットは、通常の認可設定画面では表示されません。(設定変更を行えないようにするためです)
「認可設定状況確認(/tenant/authz/view)」画面では、iAPに登録されている全ての認可リソースが表示されておりますので、「HTTPサービス(設定不可)」配下のリソースがどのような設定になっているのかを確認することも可能です。
ちょっとした隠し機能ですが、ご興味のある方は、試していただければと思います。
認可機構(im-authz)に関する詳細は、以下をご参照ください。
- 認可仕様書
- 認可 拡張プログラミングガイド
- 各開発モデル向けプログラミングガイドの「 認可 」セクション
