Sun logo      上一個      目錄      索引      下一個     

Sun ONE Identity Server 6.1 管理指南

第 6 章
策略管理

本章描述 Sun™ ONE Identity Server 的策略服務管理功能。策略管理用於檢視、管理和配置所有 Identity Server 策略。

本章包含以下小節:

策略類型

使用 Identity Server 可以配置的策略有兩種:一般策略或參考策略。一般策略由規則主題條件組成。參考策略由組織的規則參考組成。

一般策略

在 Identity Server 中,定義存取權限的策略是指一般策略。一般策略由規則主題條件組成。

規則資源以及一組或多組動作組成。資源定義受保護的物件,動作是可以對資源執行的作業名稱,值定義權限。

在沒有資源的情況下,定義動作是可接受的。

策略未指定給身份。而主題指定給了策略。主題是將策略指定與套用至的身份物件。

條件定義策略適用的情形。例如,策略中的時間條件為上午 7 時至 10 時,表示策略只適用於上午 7 時至 10 時。

術語參考、規則、資源、主題、條件、動作和值分別對應 policy.dtd 中的元素 ReferralRuleResourceNameSubjectConditionAttributeValue「Sun ONE Identity Server Customization and API Guide」中對這些術語有進一步解釋。

參考策略

通常,管理員可能需要將一個組織的策略定義和決策委託給另一個組織。(或者,可以將資源的策略決策委託給其他策略產品。)參考策略控制對建立與評估策略的策略委託。它由一條或多條規則與一個或多個參考組成。規則定義其策略定義與評估正在被參考的資源。參考定義策略定義與評估正在被參考的組織。

被參考組織可以僅為那些已參考了該組織的資源 (或子資源) 定義或評估策略。但是,此限制不適用於根組織。

Identity Server 隨附兩種類型的參考:同級組織與子組織。它們分別委託給同層級組織與子層級組織。請參閱為同級組織和子組織建立策略,以取得更多資訊。

策略管理

您可以透過策略 API、amadmin 指令行工具或 Identity Server 主控台建立、刪除和修改策略。

本章重點描述透過主控台建立策略。如需有關 amadmin 更多資訊,請參閱 amadmin 指令行工具。如需有關策略 API 的更多資訊,請參閱「Sun ONE Identity Server Customization and API Guide」中的「Policy Service」一章。

策略是使用 [身份管理] 介面配置。該介面用於:

通常,在組織 (或子組織) 層級建立要在整個組織的樹中使用的策略。

圖 6-1 策略檢視

Identity Server 主控台 - 策略管理模組、策略檢視。

註冊策略配置服務

註冊策略配置服務與註冊任一類型的服務相同,可在 [身份管理] 介面內完成。依預設,策略配置服務會自動註冊到頂層組織。您建立的任一策略服務必須註冊到所有組織。無論您何時註冊策略配置服務,均必須在範本中輸入 LDAP 連結密碼,以便所有策略在組織中生效。

  1. 導覽至 [身份管理] 介面。

    2. 主控台開啟時,預設介面是 [身份管理]。

  2. 選擇您要建立策略的組織。

    3. 如果以頂層管理員的身份登入,請確定身份管理模組位於可顯示所有已配置組織的頂層組織。預設頂層組織在安裝期間定義。

  3. 從 [檢視] 功能表選擇 [服務]。

    4. 如果組織已註冊服務,則這些服務將會顯示在導覽框架中。

  4. 在導覽框架中,按一下 [註冊]。

    5. 尚未註冊到該組織之服務的清單會顯示在資料框架中。

  5. 從 [註冊服務] 視窗 (在資料框架中開啟) 中選擇 [策略配置] 並按一下 [註冊]。

    6. 策略配置服務即會被加入導覽框架的服務清單中。

  6. 按一下 [屬性] 箭頭可配置策略服務。如果尚未配置策略範本,則需要為新註冊的策略服務建立服務範本。

    7. 若要配置策略服務,請按一下 [建立]。修改策略配置屬性。請參閱策略配置服務屬性,以取得這些屬性的描述。按一下 [儲存]。

    現在,策略配置服務已註冊到所選組織。

    子組織必須獨立於其父系組織註冊其策略服務。換言之,子組織 o=suborg,dc=sun,dc=com 將不會從其父系組織 dc=sun,dc=com 繼承策略配置服務。

建立策略

策略是使用 [身份管理] 介面建立。

  1. 導覽至 [身份管理] 介面。
  2. 選擇您要為其建立策略的組織。

    3. 請確定 [策略管理] 視窗位置是您組織的正確位置。

  3. 從 [檢視] 功能表選擇 [策略]。

    4. 依預設,在 [檢視] 功能表中可以看見 [組織] 檢視。所有配置的子組織 (如果有的話) 均會顯示在此檢視下面。如果建立子組織策略,請選擇此子組織,然後從 [檢視] 功能表選擇 [策略]。

  4. 在導覽框架中按一下 [新建]。將開啟 [新建策略] 視窗。
  5. 選取您要建立的策略類型 (一般或參考)。

    6. 如果參考子組織的參考策略不存在,則無法為該子組織建立任何策略。如需更多資訊,請參閱為同級組織和子組織建立策略

    並且此時,無需定義一般策略或參考策略的所有欄位。您可以建立策略,隨後再加入規則、主題、參考等。如需有關配置一般策略和參考策略的資訊,請參閱修改策略

  6. 鍵入此策略名稱,然後按一下 [建立]。

    7. 建立的策略名稱下將會開啟新的策略規則視窗。

  7. 依預設,會顯示 [一般] 檢視。

    8. [一般] 檢視顯示策略的名稱,允許您輸入要建立的策略描述。

  8. 按一下 [儲存],以完成此策略的配置。

修改策略

建立一般策略或參考策略後,您即可修改規則、主題、條件與參考。

  1. 從 [身份管理] 介面的 [檢視] 功能表,選取 [策略]。

    2. 將顯示為該組織建立的策略。

  2. 選擇您要修改的策略,然後按一下 [屬性] 箭頭。[編輯策略] 視窗會在資料框架中開啟。

    3. 依預設,會顯示 [一般] 檢視。

修改一般策略

可透過 [身份管理] 介面建立定義存取權限的策略。這種策略即為一般策略。一般策略可由多個規則、物件和條件組成。本節列出並定義建立一般策略時可指定的預設欄位。

加入規則

規則定義此策略的資源、動作與動作值。

  1. 從 [身份管理] 介面的 [檢視],選取 [策略]。

    2. 將顯示為該組織建立的策略。

  2. 選擇您要修改的策略,然後按一下 [特性] 箭頭。[編輯策略] 視窗會在資料框架中開啟。

    3. 依預設,會顯示 [一般] 檢視。

  3. 若要定義此策略的規則,請從 [檢視] 功能表選取 [規則],然後按一下 [加入]。

    4. 如果存在多種服務,會在資料框架中列出。選擇要為其建立策略的服務,然後按一下 [下一步]。會顯示 [加入規則] 視窗。

  4. 定義 [規則] 欄位中的資源、動作與動作值。

    5. 這些欄位包括:

    [服務]。 顯示要建立策略的服務。預設為 URL 策略代理程式。

    [規則名稱]。輸入此規則的名稱。

    [資源名稱]。輸入資源的名稱。例如:

    http://www.sunone.com

    目前,策略代理程式僅支援 http:// 資源和 https:// 資源,而不支援用 IP 位址取代主機名稱。

    資源名稱、連接埠號和協定可以使用萬用字元。例如:

    http*://*:*/*.html

    對於 URL 策略代理服務,如果未輸入連接埠號,則 http:// 的預設連接埠號為 80,https:// 的預設連接埠號為 443。

    [選取動作]。對於 URL 策略代理程式服務,您可以選取以下一種預設動作或兩者皆選:

    • GET
    • POST

    [選取動作值]。對於 URL 策略代理程式服務,您可以選擇以下一種動作值:

    • Allow 允許您存取與規則中所定義資源相符的資源。
    • Deny 不允許您存取與規則中所定義資源相符的資源。

    策略中的拒絕規則總是要優先於允許規則。例如,如果指定的資源有兩種策略,一種是拒絕存取,另一種是允許存取,則結果是拒絕存取 (假如同時滿足這兩種策略條件)。由於拒絕策略可能導致這兩種策略之間產生潛在的衝突,因此建議您使用拒絕策略時要非常謹慎。通常,策略定義程序應該僅使用允許規則,在所有策略均不適於完成此拒絕存取時才使用預設拒絕規則。

    如果使用明確的拒絕規則,即使有一個或多個策略允許存取,透過不同主題 (如角色和/或群組成員身份) 為給定使用者指定的策略也可能會導致拒絕對資源存取。例如,如果存在一個適用於員工角色之資源的拒絕策略,還存在另一個適用於管理員角色之相同資源的允許策略,系統將會拒絕指定給使用者 (員工角色和管理員角色) 的策略決策。

    解決此問題的一種方法為使用條件外掛程式設計策略。在上述情況中,「角色條件」(將拒絕策略套用於被認證為員工角色的使用者,並將允許策略套用於被認證為管理員角色的使用者) 協助區分這兩種策略。另一種方法為使用 authentication level 條件,在此條件中管理員角色在較高認證層級進行認證。請參閱加入條件,以取得更多資訊。

    如果定義了服務,使動作不需要資源定義,則不會顯示資源欄位。如果此服務包含兩種類型的動作 (某些需要資源,某些不需要資源),則會顯示一個選項,可以選取包含無需資源的動作規則或需要資源的動作規則。

  5. 按一下 [建立],以儲存此規則。
  6. 重複步驟 1 - 5,以建立其他規則。
  7. 為此策略建立的所有規則均顯示在 [規則] 檢視的表格中。按一下 [儲存],以將這些規則加入至策略。

    8. 若要從策略中移除某個規則,請選取此規則,然後按一下 [移除]。

    可以透過按一下規則名稱旁邊的 [編輯] 連結,編輯任何規則定義。

加入主題

主題定義此策略將套用至的主題。

  1. 若要定義此策略的主題,請從 [檢視] 功能表選取 [主題],然後按一下 [加入]。
  2. 選取其中一個預設主題類型:
    • Identity Server 角色
    • LDAP 群組
    • LDAP 角色
    • LDAP 使用者
    • 組織

      • 按一下 [下一步] 以繼續。

  3. 輸入此主題的名稱。
  4. 選取或取消選取 [專用] 欄位。

    5. 如果未選取此欄位 (預設),則此策略將套用於屬於此主題成員的身份。如果選取此欄位,則此策略將套用於不屬於此主題成員的身份。

    如果策略中存在多重主題,並且至少一個主題表示策略套用於給定身份,則策略將套用於此身份。無論是否選取 [專用] 欄位,當滿足了策略中定義的所有條件時,策略均套用於此身份。

  5. 執行搜尋,以便顯示要加入至此主題的身份。

    6. 預設 (*) 搜尋式樣將顯示所有合格的項目。

  6. 選取要為此主題加入的身份,然後按一下 [加入],以將其移至 [已選取的] 清單方塊。(或選取 [全部加入],以加入所有身份)。
  7. 按一下 [建立]。
  8. 此主題的名稱、類型與專用狀態均會顯示在 [主題] 檢視的表格中。按一下 [儲存]。

    9. 若要從策略中移除某主題,請選取此主題,按一下 [移除],然後按一下 [儲存]。

    可以透過按一下主題名稱旁邊的 [編輯] 連結,編輯任何主題定義。

加入條件

條件允許您定義對策略的限制。例如,如果您在為薪津應用程式定義策略,可以定義僅在特定幾小時限制此動作存取應用程式的條件。或者,如果請求來自給定 IP 位址集或企業內部網路,可能希望定義僅允許此動作存取的條件。

此條件可能還用於在同一領域的不同 URL 中配置不同的策略。例如,http://org.example.com/hr/*jsp 僅可以在上午 9 時至下午 5 時之間由 org.example.net 存取,而 http://org.example.com/finance/*.jsp 可以在上午 5 時至晚上 11 時之間由 org.example2.net 存取。配合使用 IP 條件與時間條件就可以達到這一目的。將規則資源指定為 http://org.example.com/hr/*.jsp,此策略會套用於 http://org.example.com/hr 下的所有 JSP (包括子目錄中的 JSP)。

若要將條件加入一般策略:

  1. 定義策略的條件。從 [檢視] 功能表選取 [條件]。按一下 [加入] 以加入新的條件,或者按一下 [編輯] 連結以編輯現有條件。
  2. 選取以下其中一個預設條件:
    • 認證層級
    • 認證方案
    • IP 位址
    • 階段作業
    • 時間

      • 按一下 [下一步]。

  3. 定義 [規則] 欄位中給定條件的值。這些欄位包括:

    4. [名稱]。輸入此條件的名稱。

    認證層級

    [認證層級]。指示認證的可信度。可用認證層級顯示在認證層級和認證模組表格中。

    認證方案

    [認證方案]。從下拉式功能表,選擇此條件的認證方案。這些認證方案均取自組織認證模組中的核心服務範本。

    IP 位址

    [IP 位址自/至]。指定 IP 位址的範圍。

    [DNS 名稱]。指定 DNS 名稱。

    時間

    [日期自/至]。指定日期範圍。

    [時間]。指定一天內的時間範圍。

    [天]。指定天數範圍。

    [時區]。指定時區 (標準或自訂)。自訂時區僅可為 Java 識別的時區 ID (例如 PST)。

    階段作業

    [最大階段作業時間]。指定套用策略時使用者階段作業的最大時間。

    [終止階段作業]。如果選取此欄位,則階段作業時間超過 [最大階段作業時間] 欄位定義所允許的最大時間時,此欄位會設定終止使用者階段作業。

  4. 定義了此條件後,即按一下 [建立]。
  5. 為此策略建立的所有條件均顯示在 [條件] 檢視的表格中。按一下 [儲存]。

    6. 若要從策略中移除某個條件,請選取此條件,然後按一下 [移除]。

    可以透過按一下條件名稱旁邊的 [編輯] 連結,編輯任何條件定義。

修改參考策略

透過 [身份管理] 介面,您可以將一個組織的策略定義與決策委託給另一個組織。(還可將資源的策略決策委託給其他策略產品。)參考策略控制對建立與評估策略的策略委託。它由規則參考本身組成。如果策略服務包含不需要資源的動作,則無法為子組織建立參考策略。

加入規則

規則可定義策略的資源。

  1. 若要定義此策略的規則,請從 [檢視] 功能表選取 [規則]。按一下 [加入] 以加入新規則,或按一下 [編輯] 連結以編輯現有規則。
  2. 定義 [規則] 欄位中的資源。這些欄位包括:

    3. [服務]。 顯示要建立策略的策略服務。

    [名稱]。輸入此規則的名稱。

    [資源名稱]。輸入資源的名稱。例如:

    http://www.sunone.com

    目前,策略代理程式僅支援 http://https:// 資源,而不支援用 IP 位址取代主機名稱。

    資源名稱、連接埠號和協定可以使用萬用字元。

    對於 URL 策略代理服務,如果未輸入連接埠號,則 http:// 的預設連接埠號為 80,https:// 的預設連接埠號為 443。

  3. 按一下 [建立],以儲存此規則。
  4. 重複步驟 1 - 3,以建立其他規則。
  5. 為此策略建立的所有規則均顯示在 [規則] 檢視的表格中。按一下 [儲存]。

    6. 若要從策略中移除某個規則,請選取此規則,然後按一下 [移除]。

    可以透過按一下規則名稱旁邊的 [編輯] 連結,編輯任何規則定義。

加入參考

參考定義策略評估正在參考的組織。依預設,有兩種類型的參考:同級組織與子組織。它們分別委託給同層級組織與子層級組織。

  1. 若要定義此策略的參考,請從 [檢視] 功能表選取 [參考]。按一下 [加入] 以加入新的參考,或者按一下 [編輯] 連結以編輯現有參考。
  2. 定義 [規則] 欄位中的資源。這些欄位包括:

    3. [參考]。顯示目前的參考。

    [名稱]。輸入此參考的名稱。

    [包含]。指定將要顯示在 [值] 欄位中的組織名稱之過濾器。依預設,該欄位將顯示所有組織名稱。

    [值]。輸入此參考的組織名稱。

  3. 按一下 [建立] 和 [儲存]。

    4. 若要從策略中移除某個參考,請選取此參考,然後按一下 [移除]。

    可以透過按一下參考名稱旁邊的 [編輯] 連結,編輯任何參考定義。

為同級組織和子組織建立策略

要為同級組織或子組織建立策略,必須先在父系組織 (或另一個同級組織) 中建立參考策略。還應該在子組織中註冊策略配置服務並建立範本。參考策略必須在其規則定義中包含正由子組織管理的資源字首。在父系組織 (或另一個同級組織) 中建立參考策略後,便可在子組織 (或同級組織) 中建立一般策略。

如果動作名稱不包含資源名稱,Identity Server 策略框架就不允許建立參考策略。也就是說,如果動作不包含任何資源名稱,就只能在根組織下而不能在子組織下建立策略。

在此範例中,o=isp 為父系組織,o=sun.com 為子組織並管理 http://www.example.com 的資源和子資源。若要為該子組織建立策略,請依循以下步驟:

  1. o=isp 建立參考策略。如需有關參考策略的資訊,請參閱程序修改參考策略

    2. 參考策略必須將 http://www.sun.com 定義為規則中的資源,且必須包含 SubOrgReferral (sun.com 作為參考中的值)。

  2. 移至 [組織] 檢視,並導覽至子組織 sun.com
  3. 確保策略配置服務已在子組織層級 sun.com 註冊。如需有關資訊,請參閱註冊策略配置服務
  4. 資源既然被 isp 稱為 sun.com,便可以為資源 http://www.sun.com 或以 http://www.sun.com 起始的任何資源建立一般策略。

    5. 請參閱程序修改一般策略,以取得有關建立一般策略的資訊。

    若要為由 sun.com 管理的其他資源定義策略,則必須在 o=isp 建立其他參考策略。



上一個      目錄      索引      下一個     

Copyright 2003 Sun Microsystems, Inc.。版權所有。