Contenido
|
Para agregar reglas
Las reglas definen el recurso, las acciones y los valores de las acciones de la política.
- En la interfaz de "Administración de identidades", seleccione "Políticas" en el menú "Ver".
Se muestran las políticas creadas para esta organización.
- Seleccione la política que desea modificar y haga clic en la flecha "Propiedades". Se abre la ventana "Editar política" en el marco de datos.
De forma predeterminada, se muestra la vista "General".
- Para definir reglas para la política, seleccione "Reglas" en el menú "Ver" y haga clic en "Nueva".
Si hay más de un servicio de política, aparecerán en el marco de datos. Elija el servicio para el que desee crear una política y haga clic en "Siguiente". Se muestra la ventana "Nueva regla".
- Defina el recurso, las acciones y los valores de las acciones en los campos de reglas. Los campos son:
Tipo. Muestra el servicio para la política que se va a crear. El valor predeterminado es ¨Agente de política de direcciones URL¨.
Nombre de regla. Introduzca el nombre de la regla.
Nombre de recurso. Introduzca el nombre de un recurso. Por ejemplo:
http://www.example.com
Actualmente, los agentes de políticas sólo admiten recursos http:// y https://, y no admiten direcciones IP en lugar del nombre de host.
Se admiten caracteres comodín para los nombres de recurso, números de puerto y protocolos. Por ejemplo:
http*://*:*/*.html
Para el servicio "Agente de política de dirección URL", si no se introduce un número de puerto, el número predeterminado será 80 para http:// y 443 para https://.
Si desea permitir la administración de recursos en todos los servidores instalados en una máquina específica, puede definir el recurso como http://host*:*. También puede definir los siguientes recursos para otorgar a un administrador de una organización específica autoridad para todos los servicios de dicha organización:
- http://*.subdominio.dominio.dominioNivelSuperior
Seleccionar acciones. Para el servicio "Agente de política de URL", puede seleccionar las siguientes acciones (una o las dos):
- GET
- POST
Seleccionar valores de acciones. Para el servicio "Agente de política de URL", puede seleccionar uno de los siguientes valores de acciones:
- Permitir: permite acceder a los recursos que coinciden con el recurso definido en la regla.
- Denegar: deniega el acceso a los recursos que coinciden con el recurso definido en la regla.
Las reglas de denegación tienen mayor prioridad que las reglas de permiso en una política. Por ejemplo, si tiene dos políticas para un determinado recurso, una que deniega el acceso y otra que lo permite, se deniega el acceso como resultado (siempre que se cumplan las condiciones para las dos políticas). Es recomendable que las políticas de denegación se utilicen con extrema cautela porque pueden producir conflictos entre las políticas. Normalmente, durante el proceso de definición de una política, sólo se deberían emplear reglas de permiso y utilizar la regla de denegación predeterminada cuando no se aplique ninguna política para llevar a cabo el evento de denegación.
Al usar reglas de denegación explícitas, las políticas asignadas a un determinado usuario mediante diferentes asuntos (como condición de miembro de grupo y/o rol) pueden denegar el acceso a un recurso, aún cuando una o más de las políticas permiten el acceso. Por ejemplo, si existe una política que deniega el acceso a un recurso aplicada a un rol de Empleado, y existe otra política que permite el acceso al mismo recurso aplicada al rol de Gerente, las decisiones de política de los usuarios que tuvieran asignados ambos roles serían denegadas.
Una manera de resolver estos problemas es diseñar políticas que incluyan complementos de condiciones. En el caso de arriba, “una condición de rol” que aplique la política de denegación a los usuarios autenticados con el rol Empleado, y que aplique la política de acceso a los usuarios autenticados con el rol Gerente, ayuda a diferenciar las dos políticas. Otra solución es el uso de la condición nivel de autenticación, donde el rol de Gerente se autentica en un nivel de autenticación superior. Consulte "Para agregar Condiciones" para obtener más información.
- Haga clic en "Finalizar" para guardar la regla. Esto sólo guarda la configuración en memoria. Siga el paso 8 para completar el proceso.
- Repita los pasos del 1 al 5 para crear reglas adicionales.
- Todas las reglas creadas para la política se muestran en la tabla en la vista "Reglas". Haga clic en "Guardar" para añadir las reglas a la política.
Para eliminar una regla de una política, selecciónela y haga clic en "Eliminar".
Puede editar cualquier definición de regla haciendo clic en el vínculo "Editar" que está junto al nombre de la regla.
Contenido |