通过“策略”选项卡,可以修改定义访问权限的标准策略。 您可以定义和配置多个规则、主题、条件和资源比较器。 本节列出并介绍相关操作步骤。
如果已创建了策略,请单击要为其添加规则的策略的名称。否则,请参阅使用 Access Manager 控制台创建标准策略 。
在“规则”菜单中单击“新建”。
为规则选择以下任一默认服务类型。 如果策略可用的服务较多时,您看到的列表可能会比较长:
为搜索服务查询定义授权操作并通过指定资源的 Web 服务客户机修改调用的协议。
为“Liberty 个人配置文件”服务查询定义授权操作并通过指定资源的 Web 服务客户机修改调用的协议。
为策略强制提供“URL 策略代理”服务。该服务允许管理员通过策略强制程序或策略代理来创建和管理策略。
单击“下一步”。
输入规则的名称及其资源名称。
目前,“策略代理”只支持 http:// 和 https:// 资源,不支持代替主机名的 IP 地址。
主机、端口和资源名称都支持通配符。 例如:
http*://*:*/*.html |
对于“URL 策略代理”服务,如果未输入端口号,则 http:// 的默认端口号是 80,https:// 的默认端口号是 443。
为规则选择操作。如果您使用的是“URL 策略代理”服务,则可以选择以下选项:
GET
POST
选择操作值。
Allow — 允许您访问与规则中定义的资源相匹配的资源。
Deny — 拒绝您访问与规则中定义的资源相匹配的资源。
拒绝规则始终优先于允许规则。 例如,如果某种给定的资源存在两个策略,一个拒绝访问而另一个允许访问,结果为拒绝访问(假定两个策略的条件都满足)。建议谨慎使用拒绝策略,因为它们会导致策略间的潜在冲突。策略定义过程应只使用允许规则。 如果没有适用于资源的策略,则自动拒绝访问。
当采用了显式拒绝规则时,即使一个或多个策略允许访问,通过多个不同主题(如角色和/或组成员资格)指定给给定用户的策略可能仍然会导致对资源的拒绝访问。 例如,如果应用于“员工”角色的资源的策略为拒绝策略,而应用于“经理”角色的同一资源的策略为允许策略,则被分配了“员工”和“经理”两个角色的用户的策略决策将为拒绝。
解决此问题的一个方法是使用条件插件来设计策略。在上述情况下,将拒绝策略应用于通过“员工”角色验证的用户并将允许策略应用于通过“经理”角色验证的用户的“角色条件”可以帮助区分两种策略。 另一个方法是使用 authentication level 条件,其中“经理”角色在更高验证级别进行验证。
单击“完成”。
如果已创建了策略,请单击要为其添加主题的策略的名称。如果尚未创建策略,请参阅使用 Access Manager 控制台创建标准策略 。
在“主题”列表中单击“新建”。
选择以下任一默认主题类型。有关主题类型的说明,请参阅主题
单击“下一步”。
输入主题的名称。
选择或取消选择“排除”字段。
如果未选择该字段(默认),策略将应用到属于该主题的成员的身份。如果选择该字段,策略将应用到不属于该主题的成员的身份。
如果策略中存在多个主题,则当身份属于至少一个主题的成员时,策略将应用到该身份。
执行搜索以显示要添加到主题的身份。此步骤不适用于“验证的用户”主题或“Web 服务客户机”主题。
默认 (*) 搜索模式将显示所有条目。
选择要为主题添加的各个身份,或单击“全部添加”一次添加所有身份。单击“添加”将这些身份移至“选定”列表中。 此步骤不适用于“验证的用户”主题。
单击“完成”。
要从策略中移除主题,请选择相应主题并单击“删除”。 您可以通过单击主题名称来编辑任何主题定义。
如果已创建了策略,请单击要为其添加条件的策略的名称。如果尚未创建策略,请参阅使用 Access Manager 控制台创建标准策略
在“条件”列表中单击“新建”。
选择条件类型,然后单击“下一步”。
定义条件类型字段。有关条件类型的说明,请参阅条件。
单击“完成”。
如果已创建了策略,请单击要为其添加响应提供者的策略的名称。如果尚未创建策略,请参阅使用 Access Manager 控制台创建标准策略 。
在“响应提供者”列表中单击“新建”。
输入响应提供者的名称。
定义以下值:
该响应属性的名称和值在实例 IDResponseProvider 中定义并在策略中存储。
应首先在相应领域的“策略配置服务”中定义此处所选择的响应属性。定义的属性名称应与已配置数据存储库中已有的属性名称相同。有关如何定义属性的详细信息,参见 Access Manager 联机帮助中的“策略配置”属性定义。
单击“完成”。
要从策略中删除响应提供者,请选择相应主题,然后单击“删除”。您可以通过单击响应提供者名称来编辑任何响应提供者的定义。