概要
ヘッダ追加機能は、ISWM 8.5 Service Pack 1からISWM 9.0 Service Pack 1までで搭載していた[Google Apps機能設定]の拡張機能となります。[Google Apps機能設定]はGoogle Apps for Businessに特化した機能でしたが、ヘッダ追加機能では、任意のドメインへのアクセスの際に任意のHTTPヘッダを追加することが可能となります。これにより、Google Apps for Business以外のクラウドサービス向けにも、シャドーIT対策としてご活用いただけるようになります。実際に追加すべきヘッダ情報の詳細につきましては、ご利用のクラウドサービスのサポート窓口にご相談をお願いします。
ご注意:
・ヘッダ追加機能はスタンドアロン版のみ対応しています。ICAP版では使用できません。
・HTTPSサイトへのアクセスに対してヘッダを追加する場合は、HTTPSデコード機能を有効にする必要があります。
・ヘッダ追加機能の実装に伴い、[Google Apps機能設定]は廃止となります。既存の[Google Apps機能設定]はISWM 9.1へのアップグレードで引き継がれます。詳細は本FAQの末尾をご参照ください。
ご注意:
・ヘッダ追加機能はスタンドアロン版のみ対応しています。ICAP版では使用できません。
・HTTPSサイトへのアクセスに対してヘッダを追加する場合は、HTTPSデコード機能を有効にする必要があります。
・ヘッダ追加機能の実装に伴い、[Google Apps機能設定]は廃止となります。既存の[Google Apps機能設定]はISWM 9.1へのアップグレードで引き継がれます。詳細は本FAQの末尾をご参照ください。
設定方法
専用の設定ファイルheader-config.xmlを直接編集します。管理画面からは設定できません。編集後、設定反映のために以下が必要になります。
1)設定の同期(マスタサーバ/スレーブサーバ構成の場合のみ)
マスタサーバにて以下いずれかを実施します。
・amsdata --synchronizeコマンドを実行
・管理画面の[設定情報管理] > [保存/復旧/同期] > "今すぐ同期を実行"を押下
コマンドの詳細は、管理者ガイドをご参照ください。
2)フィルタリングサービスの再起動
以下いずれかを実施します。マスタサーバ/スレーブサーバ構成の場合、各マスタサーバ/スレーブサーバのフィルタリングサービスの再起動が必要です。
・amscontrol -restartコマンドの実行
・管理画面の[サーバ管理] > [サーバ設定] > "再起動"を押下
コマンドの詳細は、管理者ガイドをご参照ください。
設定ファイルheader-config.xmlについて
■設定ファイルのパス
Windows版:<インストールフォルダ>\conf\sys\header-config.xml
(デフォルト:C:\iswm\conf\sys\header-config.xml)
Linux版:<インストールディレクトリ>/conf/sys/header-config.xml
(デフォルト:/usr/local/iswm/conf/sys/header-config.xml)
■設定ファイルの文法
| タグ名 | 意味 | 備考 |
| header_config | 本XMLファイルのルート要素を定義するタグです。 | 本XMLファイル上、1回しか定義できません。 |
| header | header_configタグ内に記載する、ヘッダ編集設定の親要素を定義するタグです。属性として以下を設定します。 enable="true":当該タグ内の設定を有効にします。 enable="false":当該タグ内の設定を無効にします。 | ・header_configタグ内で複数指定可能です。 ・製品上、指定数上限は設けていません。 |
| domains | headerタグ内に記載する、ヘッダ編集を実施するアクセス先ドメイン情報の親要素を定義するタグです。 | headerタグ内で1回しか定義できません。 |
| domain | domainsタグ内に記載する、ヘッダ編集を実施するアクセス先ドメインを定義するタグです。 URLに指定のドメインが、本タグに定義のドメインと後方一致で合致した場合、ヘッダ編集の対象となります。 | ・domainsタグ内で複数指定可能です。 ・製品上、指定数上限は設けていません。 ・ワイルドカード、正規表現の使用はできません。 |
| header_detail | headerタグ内に記載する、ヘッダ編集情報の親要素を定義するタグです。 | headerタグ内で1回しか定義できません。 |
| edit_header | header_detailタグ内に記載する、ヘッダ編集の内容を定義するタグです。domainsタグに記載した条件に合致するアクセス先ドメインに対し、本タグ内で定義したヘッダ編集を行います。 設定できる属性は以下1つのみです。 type="add" header_name="(ヘッダ名)":追加するヘッダ名を指定します。本タグで囲まれた値がヘッダ値となります。 | ・header_detailタグ内で複数指定可能です。 ・製品上、指定数上限は設けていません。 |
ご注意:
記載内容に問題がある場合、フィルタリングサービスは起動いたしません。
設定例1. G Suite向けの設定
参考URL:
https://support.google.com/a/answer/1668854?hl=ja
■設定内容
・付加ヘッダ:X-GoogApps-Allowed-Domains
・許可ホスト:google.com,gmail.com
・許可ドメイン:abc.com
■記載例
<?xml version="1.0" encoding="UTF-8"?>
<header_config>
<header enable="true">
<domains>
<domain>google.com</domain>
<domain>gmail.com</domain>
</domains>
<header_detail>
<edit_header type="add" header_name="X-GoogApps-Allowed-Domains">abc.com</edit_header>
</header_detail>
</header>
</header_config>
設定例2. Office 365向けの設定
参考URL:
https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions
https://blogs.technet.microsoft.com/office365-tech-japan/2017/02/06/tenant-restrictions
■設定内容
・付加ヘッダ :Restrict-Access-To-Tenants, Restrict-Access-Context
・許可ホスト :login.microsoftonline.com,login.windows.net,login.microsoft.com
・許可ドメイン :abc.com
・ディレクトリ ID :11e11111-11bd-1b11-a111-12345678910
■記載例
<?xml version="1.0" encoding="UTF-8"?>
<header_config>
<header enable="true">
<domains>
<domain>login.microsoftonline.com</domain>
<domain>login.windows.net</domain>
<domain>login.microsoft.com</domain>
</domains>
<header_detail>
<edit_header type="add" header_name="Restrict-Access-To-Tenants">abc.com</edit_header>
<edit_header type="add" header_name="Restrict-Access-Context">11e11111-11bd-1b11-a111-12345678910</edit_header>
</header_detail>
</header>
</header_config>
・許可ホスト :login.microsoftonline.com,login.windows.net,login.microsoft.com
・許可ドメイン :abc.com
・ディレクトリ ID :11e11111-11bd-1b11-a111-12345678910
■記載例
<?xml version="1.0" encoding="UTF-8"?>
<header_config>
<header enable="true">
<domains>
<domain>login.microsoftonline.com</domain>
<domain>login.windows.net</domain>
<domain>login.microsoft.com</domain>
</domains>
<header_detail>
<edit_header type="add" header_name="Restrict-Access-To-Tenants">abc.com</edit_header>
<edit_header type="add" header_name="Restrict-Access-Context">11e11111-11bd-1b11-a111-12345678910</edit_header>
</header_detail>
</header>
</header_config>
旧バージョンからの[Google Apps機能設定]の引き継ぎについて
ISWM 8.5 Service Pack 1からISWM 9.0 Service Pack 1までの管理画面の以下2つの設定は、ISWM 9.1にアップグレードすることで設定ファイルheader-config.xmlに以下のように引き継がれます。ただし、いずれか片方の設定が空の場合、設定の引き継ぎは行われません。
■[サーバ管理] > [一般設定] > [Google Apps機能設定] > [Google Apps ホスト設定]
設定したホストが、<domains>タグ内の<domain>タグとして引き継がれます。
■[サーバ管理] > [一般設定] > [Google Apps機能設定] > [Google Apps 許可ドメイン]
設定した許可ドメインが、<header_detail>タグ内の<edit_header type="add" header_name="X-GoogApps-Allowed-Domains">タグとして引き継がれます。
例)
| Google Apps ホスト設定 | Google Apps 許可ドメイン |
| google.com gmail.com | aaa.com bbb.com ccc.com |
■引き継ぎ内容
<?xml version="1.0" encoding="UTF-8"?>
<header_config>
<header enable="true">
<domains>
<domain>google.com</domain>
<domain>gmail.com</domain>
</domains>
<header_detail>
<edit_header type="add" header_name="X-GoogApps-Allowed-Domains">aaa.com</edit_header>
<?xml version="1.0" encoding="UTF-8"?>
<header_config>
<header enable="true">
<domains>
<domain>google.com</domain>
<domain>gmail.com</domain>
</domains>
<header_detail>
<edit_header type="add" header_name="X-GoogApps-Allowed-Domains">aaa.com</edit_header>
<edit_header type="add" header_name="X-GoogApps-Allowed-Domains">bbb.com</edit_header>
<edit_header type="add" header_name="X-GoogApps-Allowed-Domains">ccc.com</edit_header>
</header_detail>
</header>
</header_detail>
</header>
</header_config>