Inhalt
|
So fügen Sie Regeln hinzu
Durch Regeln werden die Ressource, Aktionen und Aktionswerte der Richtlinie definiert.
- Wählen Sie in der Identitätsverwaltungsschnittstelle die Option "Richtlinien" im Menü "Ansicht".
Die Richtlinien, die für die Organisation erstellt wurden, werden angezeigt.
- Wählen Sie die Richtlinie, die Sie ändern möchten, und klicken Sie auf den Eigenschaftspfeil. Das Fenster "Richtlinie bearbeiten" wird im Daten-Frame angezeigt.
Standardmäßig wird die Ansicht "Allgemein" angezeigt.
- Zum Definieren von Regeln für die Richtlinie wählen Sie "Regeln" im Menü "Ansicht" und klicken Sie auf "Neu".
Falls mehrere Dienste vorhanden sind, werden sie im Daten-Frame aufgeführt. Wählen Sie den Dienst aus, für den Sie eine Richtlinie erstellen möchten, und klicken Sie auf "Weiter". Das Fenster "Neue Regel" wird angezeigt.
- Definieren Sie die Ressource, Aktionen und Aktionswerte in den Feldern unter "Regeln". Die Felder sind:
Typ. Zeigt den Dienst an, für den die Richtlinie erstellt werden soll. Standardmäßig ist dies der URL-Richtlinien-Agent.
Regelname. Geben Sie den Namen der Regel ein.
Ressourcenname. Geben Sie den Namen einer Ressource ein. Beispielsweise:
http://www.example.com
Gegenwärtig unterstützen Richtlinien-Agenten nur http://- und https://-Ressourcen und keine IP-Adressen anstelle des Host-Namens.
Platzhalter werden für Ressourcennamen, Anschlussnummern und Protokolle unterstützt. Beispielsweise:
http*://*:*/*.html
Der URL-Richtlinien-Agent-Dienst verwendet die Standardanschlussnummer 80 für http:// und 443 für https://, falls keine Anschlussnummern angegeben werden.
Um die Ressourcenverwaltung für alle auf einem bestimmten Computer installierten Server zuzulassen, können Sie die Ressource als http://host*:* definieren. Darüber hinaus können Sie die folgende Ressource definieren, um einem Administrator eine bestimmte Organisationsbefugnis für alle Dienste in dieser Organisation zu erteilen:
- http://*.subdomain.domain.topleveldomain
Aktionen auswählen. Für den URL-Richtlinien-Agent-Dienst können Sie eine oder beide der folgenden Standardaktionen auswählen:
- GET
- POST
Aktionswerte auswählen. Für den URL-Richtlinien-Agent-Dienst können Sie einen der beiden folgenden Aktionswerte auswählen:
- Zulasse ermöglicht den Zugriff auf die Ressource, die mit der in der Regel definierten Ressource übereinstimmt.
- Verweigern verweigert den Zugriff auf die Ressource, die mit der in der Regel definierten Ressource übereinstimmt.
Verweigerungsregeln haben stets Vorrang vor Zulassungsregeln in einer Richtlinie. Wenn Sie beispielsweise zwei Richtlinien für eine bestimmte Ressource haben, von denen eine den Zugriff verweigert und die andere den Zugriff erlaubt, dann wird der Zugriff verweigert (vorausgesetzt, dass die Bedingungen für beide Richtlinien erfüllt sind). Es wird empfohlen, die Verweigerungsrichtlinien mit äußerster Vorsicht zu verwenden, da sie zu möglichen Konflikten zwischen den Richtlinien führen können. In der Regel sollte der Richtliniendefinitionsprozess nur Zulassungsregeln verwenden und standardmäßig die Verweigerung anwenden, wenn keine Richtlinien vorhanden sind, um den Verweigerungsfall zu erfüllen.
Wenn explizite Verweigerungsregeln verwendet werden, können Richtlinien, die einem bestimmten Benutzer über verschiedene Betreffe zugewiesen wurden (wie Rollen- und/oder Gruppenmitgliedschaft) zu einem verweigerten Zugriff auf eine Ressource führen, auch wenn mindestens eine der Richtlinien den Zugriff erlaubt. Wenn beispielsweise eine Verweigerungsrichtlinie für eine auf eine Mitarbeiterrolle anwendbare Ressource vorhanden ist und eine Zulassungsrichtlinie für die gleiche Ressource für eine Managerrolle existiert, werden Richtlinienentscheidungen für Benutzer, denen sowohl eine Mitarbeiter- als auch eine Managerrolle zugewiesen wurde, verweigert.
Eine Möglichkeit, das Problem zu beheben, besteht darin, Richtlinien mit Bedingungs-Plug-Ins zu entwickeln. Im obigen Beispiel würde eine "Rollenbedingung", die die Verweigerungsrichtlinie auf Benutzer, die sich für die Mitarbeiterrolle authentifizieren, und die Zulassungsrichtlinie auf Benutzer anwendet, die sich für die Managerrolle authentifizieren, helfen, die beiden Richtlinien zu unterscheiden. Eine andere Möglichkeit besteht darin, die Authentifizierungsebene-Bedingung zu verwenden, bei der die Managerrolle auf einer höheren Authentifizierungsebene authentifiziert wird. Weitere Informationen finden Sie unter "So fügen Sie Bedingungen hinzu".
- Klicken Sie auf "Fertig stellen", um die Regel zu speichern. Dadurch wird die Konfiguration nur im Speicher abgelegt. Führen Sie Schritt 8 aus, um den Vorgang abzuschließen.
- Wiederholen Sie die Schritte 1 bis 5, um zusätzliche Regeln zu erstellen.
- Sämtliche für die Richtlinie erstellten Regeln werden in der Tabelle in der Ansicht "Regeln" angezeigt. Klicken Sie auf "Speichern", um der Richtlinie Regeln hinzuzufügen.
Zum Entfernen einer Regel aus einer Richtlinie, wählen Sie die Regel und klicken Sie auf "Löschen".
Sie können eine beliebige Regeldefinition bearbeiten, indem Sie auf den Link "Bearbeiten" neben dem Regelnamen klicken.
Inhalt |