若您已建立策略,按一下您要新增規則的策略名稱。若還沒建立,請參閱以 Access Manager 主控台建立一般策略。
於 [規則] 功能表下,按一下 [新建]。
為規則選取下列預設服務類型之一。啟用策略的服務越多,您可以參閱的清單就越大:
定義探索服務查詢的授權動作,並修改 Web 服務用戶端對特定資源的協定呼叫。
定義 Liberty 個人設定檔服務查詢的授權動作,並修改 Web 服務用戶端對特定資源的協定呼叫。
為策略執行提供 URL 策略代理程式服務。此服務可讓管理員透過策略執行程式或策略代理程式建立與管理策略。
按 [下一步]。
輸入規則的名稱與資源名稱。
目前,策略代理程式僅支援 http:// 與 https:// 資源,而不支援以 IP 位址取代主機名稱。
主機、連接埠和資源名稱皆支援萬用字元。例如:
http*://*:*/*.html |
對 URL 策略代理程式服務而言,若未輸入連接埠埠號,則 http:// 的預設埠號為 80、https:// 的預設埠號為 443。
為此規則選取動作。若您是使用 URL 策略代理程式服務,可以選擇:
GET
POST
選取動作值。
允許 — 允許您存取與規則中所定義資源相符的資源。
拒絕 — 不允許您存取與規則中所定義資源相符的資源。
[拒絕] 規則永遠優先於 [允許] 規則。例如,如果指定的資源有兩種策略,一種是拒絕存取,另一種是允許存取,則結果是拒絕存取 (假如同時滿足這兩種策略條件)。由於拒絕策略可能導致這兩種策略之間產生潛在的衝突,因此建議您使用拒絕策略時要非常謹慎。策略定義程序應該僅使用允許規則。若資源未套用任何策略,會自動拒絕存取。
如果使用明確的拒絕規則,即使有一個或多個策略允許存取,透過不同主旨如角色和或群組成員身份為給定使用者指定的策略也可能會導致拒絕對資源存取。例如,如果存在一個適用於員工角色之資源的拒絕策略,還存在另一個適用於管理員角色之相同資源的允許策略,系統將會拒絕指定給使用者 (員工角色和管理員角色 的策略決策。
解決此問題的一種方法為使用條件外掛程式設計策略。在上述情況中,「角色條件」(將拒絕策略套用於認證為員工角色之使用者,並將允許策略套用至認證為經理角色之使用者) 協助區分這兩種策略。另一種方法為使用 authentication level 條件,其中經理角色是在較高認證層級進行認證。
按一下 [完成]。