test

Sun Java System Access Manager 7 2005Q4 管理指南

修改标准策略

通过“策略”选项卡,可以修改定义访问权限的标准策略。 您可以定义和配置多个规则、主题、条件和资源比较器。 本节列出并介绍相关操作步骤。

Procedure在标准策略中添加或修改规则

步骤

  1. 如果已创建了策略,请单击要为其添加规则的策略的名称。否则,请参阅使用 Access Manager 控制台创建标准策略

  2. 在“规则”菜单中单击“新建”。

  3. 为规则选择以下任一默认服务类型。 如果策略可用的服务较多时,您看到的列表可能会比较长:

    搜索服务

    为搜索服务查询定义授权操作并通过指定资源的 Web 服务客户机修改调用的协议。

    Liberty 个人配置文件服务

    为“Liberty 个人配置文件”服务查询定义授权操作并通过指定资源的 Web 服务客户机修改调用的协议。

    URL 策略代理

    为策略强制提供“URL 策略代理”服务。该服务允许管理员通过策略强制程序或策略代理来创建和管理策略。

  4. 单击“下一步”。

  5. 输入规则的名称及其资源名称。

    目前,“策略代理”只支持 http://https:// 资源,不支持代替主机名的 IP 地址。

    主机、端口和资源名称都支持通配符。 例如:


    http*://*:*/*.html

    对于“URL 策略代理”服务,如果未输入端口号,则 http:// 的默认端口号是 80,https:// 的默认端口号是 443。

  6. 为规则选择操作。如果您使用的是“URL 策略代理”服务,则可以选择以下选项:

    • GET

    • POST

  7. 选择操作值。

    • Allow — 允许您访问与规则中定义的资源相匹配的资源。

    • Deny — 拒绝您访问与规则中定义的资源相匹配的资源。

    • 拒绝规则始终优先于允许规则。 例如,如果某种给定的资源存在两个策略,一个拒绝访问而另一个允许访问,结果为拒绝访问(假定两个策略的条件都满足)。建议谨慎使用拒绝策略,因为它们会导致策略间的潜在冲突。策略定义过程应只使用允许规则。 如果没有适用于资源的策略,则自动拒绝访问。

      当采用了显式拒绝规则时,即使一个或多个策略允许访问,通过多个不同主题(如角色和/或组成员资格)指定给给定用户的策略可能仍然会导致对资源的拒绝访问。 例如,如果应用于“员工”角色的资源的策略为拒绝策略,而应用于“经理”角色的同一资源的策略为允许策略,则被分配了“员工”和“经理”两个角色的用户的策略决策将为拒绝。

      解决此问题的一个方法是使用条件插件来设计策略。在上述情况下,将拒绝策略应用于通过“员工”角色验证的用户并将允许策略应用于通过“经理”角色验证的用户的“角色条件”可以帮助区分两种策略。 另一个方法是使用 authentication level 条件,其中“经理”角色在更高验证级别进行验证。

  8. 单击“完成”。

Procedure在标准策略中添加或修改主题

步骤

  1. 如果已创建了策略,请单击要为其添加主题的策略的名称。如果尚未创建策略,请参阅使用 Access Manager 控制台创建标准策略

  2. 在“主题”列表中单击“新建”。

  3. 选择以下任一默认主题类型。有关主题类型的说明,请参阅主题

  4. 单击“下一步”。

  5. 输入主题的名称。

  6. 选择或取消选择“排除”字段。

    如果未选择该字段(默认),策略将应用到属于该主题的成员的身份。如果选择该字段,策略将应用到不属于该主题的成员的身份。

    如果策略中存在多个主题,则当身份属于至少一个主题的成员时,策略将应用到该身份。

  7. 执行搜索以显示要添加到主题的身份。此步骤不适用于“验证的用户”主题或“Web 服务客户机”主题。

    默认 (*) 搜索模式将显示所有条目。

  8. 选择要为主题添加的各个身份,或单击“全部添加”一次添加所有身份。单击“添加”将这些身份移至“选定”列表中。 此步骤不适用于“验证的用户”主题。

  9. 单击“完成”。

  10. 要从策略中移除主题,请选择相应主题并单击“删除”。 您可以通过单击主题名称来编辑任何主题定义。

Procedure将条件添加到标准策略

步骤

  1. 如果已创建了策略,请单击要为其添加条件的策略的名称。如果尚未创建策略,请参阅使用 Access Manager 控制台创建标准策略

  2. 在“条件”列表中单击“新建”。

  3. 选择条件类型,然后单击“下一步”。

  4. 定义条件类型字段。有关条件类型的说明,请参阅条件

  5. 单击“完成”。

Procedure将响应提供者添加到标准策略

步骤

  1. 如果已创建了策略,请单击要为其添加响应提供者的策略的名称。如果尚未创建策略,请参阅使用 Access Manager 控制台创建标准策略

  2. 在“响应提供者”列表中单击“新建”。

  3. 输入响应提供者的名称。

  4. 定义以下值:

    StaticAttribute

    该响应属性的名称和值在实例 IDResponseProvider 中定义并在策略中存储。

    DynamicAttribute

    应首先在相应领域的“策略配置服务”中定义此处所选择的响应属性。定义的属性名称应与已配置数据存储库中已有的属性名称相同。有关如何定义属性的详细信息,参见 Access Manager 联机帮助中的“策略配置”属性定义。

  5. 单击“完成”。

  6. 要从策略中删除响应提供者,请选择相应主题,然后单击“删除”。您可以通过单击响应提供者名称来编辑任何响应提供者的定义。