目录
|
策略
策略是通过“身份管理”界面配置的。
通过该界面,顶级管理员或顶级策略管理员可以查看、创建、删除和修改所有组织使用的某项特定服务的策略,组织或子组织的管理员可以查看、创建、删除和修改其组织专用的策略。
通常在组织(或子组织)级创建策略,并应用于该组织的整个树结构。
本主题包含以下内容:
策略类型
使用 Access Manager 可以配置两种策略类型:标准策略和候选策略。
标准策略由规则、主题和条件组成。候选策略由规则和候选组织组成。
标准策略
在 Access Manager 中,用于定义访问权限的策略被称为标准策略。标准策略由规则、主题和条件组成。
规则由一种资源、一组或多组操作以及一个值组成。资源用于定义被保护的对象,操作是可以在资源上执行的操作的名称,值则用于定义权限。
不能将策略指定到身份,而可以将 主题 指定到策略。主题就是指定且应用了策略的身份对象。
条件定义的是策略适用的情况。例如,如果策略中有一个 7 am 到 10 am 的条件,则表示该策略只能在 7 am 到 10 am 之间使用。
注
候选组织、规则、资源、主题、条件、操作和值等术语分别对应 policy.dtd 中的 Referral、Rule、ResourceName、Subject、Condition、Attribute 和 Value 元素。这些术语在“Access Manager Developer's Guide”中做了进一步介绍。
候选策略
管理员通常可能需要将一个组织的策略定义和决策指派给另一个组织。(另外,还可以将资源的策略决策授权给其他策略产品)。候选策略控制着对策略创建和评估的授权。该策略由一个或多个规则和候选组织组成。规则定义当前与策略评估相关的资源,候选组织定义当前与策略评估相关的组织。
Access Manager 捆绑了两种候选组织:对等组织和子组织。它们分别代表同级组织和子级组织。
创建策略
策略是通过“身份管理”界面创建的。
- 找到“身份管理”界面。
- 选择要为其创建策略的组织。
确保“策略管理”窗口正确地显示了您的组织。
- 从“查看”菜单中选择“策略”。
缺省情况下,“组织”视图会显示在“查看”菜单中。如果存在子组织,则在组织下面还可以看到配置的所有子组织。如果为子组织创建策略,请选择子组织,然后从“查看”菜单中选择“策略”。
- 单击浏览框中的“新建”。屏幕上将显示“新建策略”窗口。
- 选择您要创建的策略类型:标准或候选。
如果子组织没有相应的候选策略,则不能为该子组织创建任何策略。
此时,您不必为标准或候选策略定义所有字段。您可以在创建策略之后再添加规则、主题、候选组织等字段。
- 键入策略的名称,然后单击“确定”。
- 缺省情况下,屏幕上将显示“常规”视图。
“常规”视图显示了策略的名称,且允许您输入所创建策略的说明。
- 单击“保存”完成策略的配置。
修改策略
创建标准或候选策略之后,可以修改规则、主题、条件和候选组织。缺省情况下,将显示“常规”视图。“常规”视图中所包含的属性在创建策略中进行介绍。
目录 |