[ポリシー] タブを使用して、仮想サービスのポリシーまたは DataScript を定義します。DataScript とポリシーの内容は、セキュリティ、クライアント要求属性、またはサーバ応答属性を制御するために仮想サービスを介して接続または要求のフローを制御する 1 つ以上のルールです。各ルールは、if/then ロジックを使用する一致/アクション ペアです。true の場合はルールに一致し、対応するアクションが実行されます。ポリシーは、GUI ベースでウィザード駆動のシンプルなロジックですが、DataScript では NSX Advanced Load Balancer の Lua ベースのスクリプト言語を使用して、より強力な操作を可能にします。

手順

  1. [ネットワーク セキュリティ] は、ネットワーク (TCP/UDP) 情報に基づいてトラフィックを明示的に許可またはブロックするよう構成します。
    1. [IP レピュテーション DB] を選択します。
    2. [Geo DB] を選択します。
    3. [+] をクリックして、[ネットワーク セキュリティ ルールの追加] サブ画面を表示します。
    4. アクションが呼び出されたときにログを記録するよう、NSX Advanced Load Balancer[ログ] チェック ボックスをオンにします。
    5. [一致ルール]で、[新規一致を追加] ドロップダウン メニューからネットワーク セキュリティ一致基準を選択します。たとえば、[サービス ポート] は 80 です。
    6. [アクション] で、一致基準が満たされたときに実装する構成可能なアクションを選択します。詳細については、「仮想サービス ポリシー」の「ネットワーク セキュリティ」セクションを参照してください。
    7. [ロールベースのアクセス コントロール (RBAC)] セクションで [追加] をクリックし、[キー] とそれに対応する [値] を構成して、アプリケーションを制御、管理、モニターするためのきめ細かいアクセスを提供します。詳細については、『VMware NSX Advanced Load Balancer 管理ガイド』の「アプリケーションごとのきめ細かいロールベースのアクセス コントロール」を参照してください。
    8. [ルールの保存] をクリックします。
  2. 同様に、必要に応じて、[HTTP セキュリティ] ルール、[HTTP 要求] ルール、[HTTP 応答] ルールを構成します。
  3. [DataScript] で、[DataScript の追加] をクリックします。
    1. [実行するスクリプト] をドロップダウン メニューから選択するか、[DataScript の作成] を選択します。
    2. [DataScript の保存] をクリックします。
  4. カスタム認証ポリシーを作成し、そのポリシーを ID プロバイダ (IdP) に適用します。[アクセス] で、次のいずれかを選択して構成します。
    オプション 説明

    SAML

    SAML (Security Assertion Markup Language) は、ID プロバイダ (IdP) とサービス プロバイダ (SP) 間で認証と認可を交換するための XML ベースのマークアップ言語です。SAML ベースの認証用アプリケーションを構成する方法、SSO ポリシーを作成して仮想サービスにバインドする方法については、「NSX Advanced Load Balancer の SAML 構成」を参照してください。

    PingAccess

    Ping Identity の PingAccess エージェントは、仮想サービスへのクライアント アクセスの制御に使用できます。PingAccess エージェント プロファイルの作成方法を把握するには、PingAccess タイプの SSO ポリシーを作成し、仮想サービスに関連付けます。

    JWT

    NSX Advanced Load Balancer を介して安全な通信ができるようにするためのアクセス ポリシーの 1 つとして JWT 検証がサポートされており、これは認可サーバによって発行された JWT に基づいています。詳細については、『VMware NSX Advanced Load Balancer 管理ガイド』の「JSON Web トークン (JWT) 検証のための NSX Advanced Load Balancer の構成」セクションを参照してください。

    LDAP

    LDAP は基本認証ポリシーの拡張機能です。指定したユーザー名とパスワードはターゲット LDAP サーバに対して認証されます。LDAP は、ディレクトリ サービスにアクセスするために一般的に使用されるプロトコルです。ディレクトリ サービスは、認証システムの階層オブジェクト指向データベース ビューです。NSX Advanced Load Balancer では、仮想サービスの LDAP 認証をサポートします。詳細については、『VMware NSX Advanced Load Balancer管理ガイド』の「基本認証」セクションを参照してください。

  5. [次へ] をクリックします。