透過 [策略] 標籤,您可修改用來定義存取權限的一般策略。您可定義和配置數個規則、主旨、條件和資源主較程式。此節列出和說明其步驟。
若您已建立策略,按一下您要新增規則的策略名稱。若還沒建立,請參閱以 Access Manager 主控台建立一般策略。
於 [規則] 功能表下,按一下 [新建]。
為規則選取下列預設服務類型之一。啟用策略的服務越多,您可以參閱的清單就越大:
定義探索服務查詢的授權動作,並修改 Web 服務用戶端對特定資源的協定呼叫。
定義 Liberty 個人設定檔服務查詢的授權動作,並修改 Web 服務用戶端對特定資源的協定呼叫。
為策略執行提供 URL 策略代理程式服務。此服務可讓管理員透過策略執行程式或策略代理程式建立與管理策略。
按 [下一步]。
輸入規則的名稱與資源名稱。
目前,策略代理程式僅支援 http:// 與 https:// 資源,而不支援以 IP 位址取代主機名稱。
主機、連接埠和資源名稱皆支援萬用字元。例如:
http*://*:*/*.html |
對 URL 策略代理程式服務而言,若未輸入連接埠埠號,則 http:// 的預設埠號為 80、https:// 的預設埠號為 443。
為此規則選取動作。若您是使用 URL 策略代理程式服務,可以選擇:
GET
POST
選取動作值。
允許 — 允許您存取與規則中所定義資源相符的資源。
拒絕 — 不允許您存取與規則中所定義資源相符的資源。
[拒絕] 規則永遠優先於 [允許] 規則。例如,如果指定的資源有兩種策略,一種是拒絕存取,另一種是允許存取,則結果是拒絕存取 (假如同時滿足這兩種策略條件)。由於拒絕策略可能導致這兩種策略之間產生潛在的衝突,因此建議您使用拒絕策略時要非常謹慎。策略定義程序應該僅使用允許規則。若資源未套用任何策略,會自動拒絕存取。
如果使用明確的拒絕規則,即使有一個或多個策略允許存取,透過不同主旨如角色和或群組成員身份為給定使用者指定的策略也可能會導致拒絕對資源存取。例如,如果存在一個適用於員工角色之資源的拒絕策略,還存在另一個適用於管理員角色之相同資源的允許策略,系統將會拒絕指定給使用者 (員工角色和管理員角色 的策略決策。
解決此問題的一種方法為使用條件外掛程式設計策略。在上述情況中,「角色條件」(將拒絕策略套用於認證為員工角色之使用者,並將允許策略套用至認證為經理角色之使用者) 協助區分這兩種策略。另一種方法為使用 authentication level 條件,其中經理角色是在較高認證層級進行認證。
按一下 [完成]。
若您已建立策略,按一下您要新增主旨的策略名稱。若您尚未建立策略,請參閱以 Access Manager 主控台建立一般策略。
於 [主旨] 清單下,按一下 [新建]。
選取其中一個預設主旨類型。如需要主旨類型的說明,請參閱主旨。
按 [下一步]。
輸入此主旨的名稱。
選取或取消選取 [專用] 欄位。
如果未選取此欄位 (預設),則此策略將套用於屬於主旨成員的識別。如果選取此欄位,則此策略將套用於不屬於主旨成員的識別。
若策略中有數個主旨,策略將套用至至少為其中一個主旨之成員的識別。
執行搜尋,以便顯示要加入至此主旨的識別。此步驟不適用於 [已認證的使用者] 主旨或 [Web 服務用戶端] 主旨。
預設 (*) 搜尋式樣將顯示所有項目。
選取要為此主旨加入的個別身份,或按一下 [全部加入] 以立即加入所有身份。按一下 [新增],以將識別移至選取的清單。此步驟不適用於 [已認證的使用者] 主旨。
按一下 [完成]。
若要從策略中移除某主旨,請選取此主旨並按一下 [刪除]。按一下主旨名稱可以編輯任何主旨定義。
若您已建立策略,按一下您要新增規則的策略名稱。若您尚未建立策略,請參閱以 Access Manager 主控台建立一般策略。
於 [條件] 清單下,按一下 [新建]。
選取條件類型並按 [下一步]。
定義條件類型的欄位。如需條件類型的說明,請參閱條件。
按一下 [完成]。
若您已建立策略,按一下您要新增回應提供者的策略名稱。若您尚未建立策略,請參閱以 Access Manager 主控台建立一般策略。
於 [回應提供者] 清單下,按一下 [新建]。
輸入回應提供者的名稱。
定義下列值:
含名字與值的回應屬性,定義於 IDResponseProvider 實例中並儲存於策略中。
此處所選擇的回應屬性首先需要定義於對應之範圍的「策略配置服務」中。定義的屬性名稱應與那些存在於配置資料庫中的屬性相同。如需有關如何定義屬性的詳細資料,請參閱「Access Manager 線上說明」中的策略配置屬性定義。
按一下 [完成]。
若要從策略中移除回應提供者,請選取主旨,然後按一下 [刪除]。按一下名稱可以編輯任何回應提供者定義。