目录
|
添加规则的步骤
“规则”用于定义策略的资源、操作和操作值。
- 从“身份管理”界面的“查看”菜单中选择“策略”。
屏幕上将显示为该组织创建的策略。
- 选择您要修改的策略,然后单击属性箭头。数据框中将显示“编辑策略”窗口。
缺省情况下,屏幕上将显示“常规”视图。
- 要定义策略的规则,请从“查看”菜单中选择“规则”,然后单击“新建”。
如果存在多个服务,这些服务会在数据框中列出。选择要为其创建策略的服务,然后单击“下一步”。随即将显示“新建规则”窗口。
- 在“规则”的各个字段中定义资源、操作和操作值。这些字段包括:
类型 。显示所创建策略的服务。缺省值为 URL 策略代理。
规则名称。输入规则的名称。
资源名称。输入资源的名称。例如:
http://www.example.com
目前,策略代理只支持 http:// 和 https:// 资源,不支持代替主机名的 IP 地址。
资源名称、端口号和协议都支持通配符。例如:
http*://*:*/*.html
对于“URL 策略代理”服务,如果未输入端口号,则 http:// 的缺省端口号为 80,https:// 的缺省端口号为 443。
如果将资源定义为 http://host*:*,即可允许对安装在特定计算机上的所有服务器的资源进行管理。此外,还可以定义以下资源,以授予管理员对该组织中所有服务的组织权限:
- http://*.subdomain.domain.topleveldomain
选择操作:对于“URL 策略代理”服务,您可以选择以下两项缺省操作或其中任何一项:
在策略中,拒绝规则始终比允许规则具有优先权。例如,如果某种给定的资源存在两个策略,一个拒绝访问而另一个允许访问,结果为拒绝访问(假定两个策略的条件都满足)。建议谨慎使用拒绝策略,因为它们会导致策略间的潜在冲突。通常来说,在定义策略的过程中,应只使用允许规则,在没有策略适用于实现拒绝条件时使用缺省的拒绝规则。
当采用了显示拒绝规则时,即使一个或多个策略允许访问,通过多个不同主题(如角色和/或组成员资格)指定给给定用户的策略可能仍然会导致对资源的拒绝访问。例如,如果应用于员工角色的资源的策略为拒绝策略,而应用于经理角色的同一资源的策略为允许策略,则被指派了员工和经理两个角色的用户的策略决策将为拒绝。
解决此问题的一个方法是使用条件插件来设计策略。在上述情况下,将拒绝策略应用于通过员工角色验证的用户并将允许策略应用于通过经理角色验证的用户的“角色条件”可以帮助区分两种策略。另一个方法是使用验证级别条件,其中经理角色在更高验证级别进行验证。有关详细信息,请参见添加条件的步骤。
目录 |