目錄
|
加入規則
規則定義此策略的資源、動作與動作值。
- 從 [身份管理] 介面的 [檢視],選取 [策略]。
將顯示為該組織建立的策略。
- 選擇您要修改的策略,然後按一下 [內容] 箭頭。[編輯策略] 視窗會在 [資料] 框架中開啟。
依預設,會顯示 [一般] 檢視。
- 若要定義此策略的規則,請從 [檢視] 功能表選取 [規則],然後按一下 [新建]。
如果存在多種服務,會在 [資料] 框架中列出。選擇要為其建立策略的服務,然後按一下 [下一步]。會顯示 [新建規則] 視窗。
- 定義 [規則] 欄位中的資源、動作與動作值。這些欄位包括:
[類型]。 顯示要建立策略的服務。預設為 URL 策略代理程式。
[規則名稱]。輸入此規則的名稱。
[資源名稱]。輸入資源的名稱。例如:
http://www.example.com
目前,策略代理程式僅支援 http:// 和 https:// 資源,而不支援用 IP 位址取代主機名稱。
資源名稱、連接埠號和協定可以使用萬用字元。例如:
http*://*:*/*.html
對於 URL 策略代理程式服務,如果未輸入連接埠號,則 http:// 的預設連接埠號為 80,https://. 的預設連接埠號為 443。
若要允許對安裝在特定機器上的所有伺服器的資源進行管理,您可以將資源定義為 http://host*:*。此外,您可以定義以下資源,以授與該組織中所有服務的特定組織授權單位管理員權限。
- http://*.subdomain.domain.topleveldomain
[選取動作]。對於 URL 策略代理程式服務,您可以選取以下一種預設動作或兩者皆選:
策略中的拒絕規則總是要優先於允許規則。例如,如果指定的資源有兩種策略,一種是拒絕存取,另一種是允許存取,則結果是拒絕存取 (假如同時滿足這兩種策略條件)。由於拒絕策略可能導致這兩種策略之間產生潛在的衝突,因此建議您使用拒絕策略時要非常謹慎。通常,策略定義程序應該僅使用允許規則,在所有策略均不適於完成此拒絕存取時才使用預設拒絕規則。
如果使用明確的拒絕規則,即使有一個或多個策略允許存取,透過不同主旨 (如角色和/或群組成員身份) 為給定使用者指定的策略也可能會導致拒絕對資源存取。例如,如果存在一個適用於員工角色之資源的拒絕策略,還存在另一個適用於管理員角色之相同資源的允許策略,系統將會拒絕指定給使用者 (員工角色和管理員角色) 的策略決策。
解決此問題的一種方法為使用條件外掛程式設計策略。在上述情況中,「角色條件」(將拒絕策略套用於被認證為員工角色的使用者,並將允許策略套用於被認證為管理員角色的使用者) 協助區分這兩種策略。另一種方法為使用 authentication level 條件,在此條件中管理員角色在較高認證層級進行認證。請參閱加入條件,以取得更多資訊。
目錄 |