アクセス制御
このセクションは、ポリシーとともに、Tunnelsメニューで設定されたZTNAサーバー及びゲートウェイにアクセスするユーザー権限を制御するために設計された機能です。
基本的にアクセス制御は次のように動作します:
- アクセス制御が全く適用されない場合、基本的にすべてのアクセスはBLOCKされます。
- 指定されたユーザーのみアクセスでき、より高度な制御が必要な場合は、アクセスポリシーを適用することができます。

以下は各メニューの説明です。
| 検索 | アクセス制御ルールをフィルタリングできます |
| 優先順位変更 | ルールの優先順位を変更する(上にあるほど優先されます) |
| チェックボックス | 選択した1つまたは複数のルールを削除するときに使用 |
| 作成 | 新しいアクセス制御ルールの作成メニューを開く |
| 編集 | 選択したルールを修正 |
アクセス制御の設定
アクセス制御メニューでは、内部Webアプリケーションへのアクセスを許可/制限するルールを作成できます。


ステップ1: メニューに移動
ZTNA > アクセス制御 に移動し 、 「作成」 をクリックすると、「アクセス制御の作成」メニューが表示されます。メニューの説明は以下のとおりです。
| 有効化 | ルールの有効化/無効化 |
| 名前(一意) | ルールを識別するための識別名 |
| ポリシー | アクセスポリシー適用 空白の場合、下の User フィールドに指定したユーザーに許可、残りはブロック処理される |
| デバイスポスチャー | Connectorメニューで設定したDevice Postureを満たしているか確認 |
| タイプ | 許可する接続タイプ(HTTPS/HTTP/TCP/UDP/ICMP) |
| 応用 | Tunnelメニューで作成したサーバーのSA Domainとポート番号を入力する |
| リダイレクトURI | 特定のアプリケーションにアクセスするときにユーザーにリダイレクトするURL タイプがHTTP / HTTPSの場合にのみ入力可能 |
| ブロックページ | ユーザーがブロックされたときに表示されるページ(設定→ブロックページで設定) |
| ユーザー | このアクセス制御ルールが適用されるユーザーのリスト ここに含まれていないユーザーはデフォルトでブロックされています |
| RBI | RBIの適用。ダウンロード/アップロード/クリップボード/プリント/透かしなどの詳細制御可能 |
ステップ2: Webアプリケーションを入力する
アプリケーションの欄に入力するのは、トンネルメニューで作成された SA ドメイン(セキュアアクセスドメイン) です。 「追加」ボタンを押すと保存されます。
サーバートンネルからSAドメインに入る
参照したサーバートンネル(ZTNA>トンネル メニューで作成)
プロトコル でTCP/UDP/ICMP を選択した場合は、SA ドメインは入力できず、IP/CIDR/PORT情報を直接入力する必要があります。「追加」ボタンで保存してください。

ステップ3: ユーザーを設定する
ZTNAは Zero-Trustモデル に基づいています。
つまり、明示的にAccess Controlに追加されたユーザーのみがアクセス可能 です。

ベストプラクティスとして、ユーザーグループを作成することで、個々のユーザーを細かく管理することなく、アプリケーションへの適切なアクセス権限を付与しやすくなります。
アクセスポリシールールを使用する際、アクセス制御ルールとアクセスポリシールールの両方でユーザーを指定する場合、アクセスポリシールールが正しく機能するためには、アクセス制御で定義されているユーザーリストにそのユーザーが含まれている必要があります。
これは、アクセス制御で指定されていないすべてのユーザーはデフォルトでブロックされるという動作ロジックによるものです。
ステップ4: 適用してテストする
適用をクリックした後、Webサーバーにアクセスするには、まずConnector経由でワークスペースに接続する必要があります。

このように接続し、権限も付与されていることが確認できたら、ブラウザなどであらかじめ設定しておいたSAドメインにアクセスしてみましょう。正常にアクセスできることを確認してください。
動作しないことを確認するには、Connectorを切断してアプリケーションにアクセスしてみてください。

Connectorなしで内部リソースにアクセスしようとした場合にどうなるかを確認できます。
最後に、Connectorを介して接続されているがアプリケーションへの明示的なアクセス権は持たないユーザーがアクセス可能かどうかをテストします。

アクセス権のないユーザーがブロックされた様子(設定したブロックページが表示されています)。