管理策略
一旦创建了标准或引用策略并将其添加到 Access Manager,您就可以使用 Access Manager 控制台通过修改规则、主题、条件和引用项来管理策略。
修改常规策略
通过“策略”选项卡,可以修改定义访问权限的常规策略。 您可以定义和配置多个规则、主题、条件和资源比较器。 本节列出并介绍相关操作步骤。
在常规策略中添加或修改规则
-
如果已创建了策略,请单击要为其添加规则的策略的名称。否则,参见使用 Access Manager 控制台创建常规策略 。
-
在“规则”菜单中单击“新建”。
-
请为规则选择以下任一默认服务类型。如果策略可用的服务较多时,您看到的列表可能会比较长:
- 搜索服务
-
为搜索服务查询定义授权操作,并通过指定资源的 Web 服务客户机修改调用的协议。
- Liberty 个人配置文件服务
-
为 Liberty 个人配置文件服务查询定义授权操作,并通过指定资源的 Web 服务客户机修改调用的协议。
- URL 策略代理
-
定义 URL 策略代理服务的授权操作。它用于定义保护 HTTP 和 HTTPS URL 的策略。这是 Access Manager 策略最常见的用途。
-
单击“下一步”。
-
请输入规则的名称及其资源名称。
目前,Access Manager 策略代理只支持 http:// 和 https:// 资源,而不支持使用 IP 地址代替主机名。
协议、主机、端口和资源名称都支持通配符。例如:
http*://*:*/*.html
对于“URL 策略代理”服务,如果未输入端口号,则 http:// 的默认端口号是 80,https:// 的默认端口号是 443。
-
为规则选择操作。根据服务类型,可选择以下选项:
-
查找(搜索服务)
-
更新(搜索服务)
-
修改(Liberty 个人配置文件服务)
-
查询(Liberty 个人配置文件服务)
-
GET(URL 策略代理)
-
POST(URL 策略代理)
-
-
选择操作值。
-
同意交互式操作 — 为了得到同意而对资源调用 Liberty 交互式操作协议。仅适用于 Liberty 个人配置文件服务类型。
-
交互式操作值 — 为了获得某个值而对资源调用 Liberty 交互式操作协议。仅适用于 Liberty 个人配置文件服务类型。
-
允许 — 允许您访问与规则中定义的资源相匹配的资源。
-
拒绝 — 拒绝您访问与规则中定义的资源相匹配的资源。
在策略中,拒绝规则始终比允许规则具有优先权。例如,如果某种给定的资源存在两个策略,一个拒绝访问而另一个允许访问,结果为拒绝访问(假定两个策略的条件都满足)。建议谨慎使用拒绝策略,因为它们会导致策略间的潜在冲突。通常来说,在定义策略的过程中,应只使用允许规则,在没有策略适用于实现拒绝条件时使用默认的拒绝规则。
当采用了显示拒绝规则时,即使一个或多个策略允许访问,通过多个不同主题(如角色和/或组成员资格)指定给给定用户的策略可能仍然会导致拒绝访问资源。例如,如果应用于“员工”角色的资源的策略为拒绝策略,而应用于“经理”角色的同一资源的策略为允许策略,则被分配了“员工”和“经理”两个角色的用户的策略决策将为拒绝。
解决此问题的一个方法是使用条件插件来设计策略。在上述情况下,将拒绝策略应用于通过“员工”角色验证的用户并将允许策略应用于通过“经理”角色验证的用户的“角色条件”可以帮助区分两种策略。 另一个方法是使用 authentication level 条件,其中“经理”角色在更高验证级别进行验证。
-
-
单击“完成”。
在常规策略中添加或修改主题
-
如果已创建了策略,请单击要为其添加主题的策略的名称。如果尚未创建策略,参见使用 Access Manager 控制台创建常规策略 。
-
在“主题”列表中单击“新建”。
-
选择以下任一默认主题类型。有关主题类型的说明,参见主题
-
单击“下一步”。
-
输入主题的名称。
-
选择或取消选择“排除”字段。
如果未选择该字段(默认),策略将应用到属于该主题的成员的身份。如果选择该字段,策略将应用到不属于该主题的成员的身份。
如果该策略中存在多个主题,至少要有一个主题表明该策略适用于给定的身份,策略才能应用到该身份。
-
执行搜索以显示要添加到主题的身份。此步骤不适用于“验证的用户”主题或“Web 服务客户机”主题。
默认 (*) 搜索模式将显示所有符合条件的条目。
-
选择要为主题添加的各个身份,或单击“全部添加”一次添加所有身份。单击“添加”将这些身份移至“选定”列表中。 此步骤不适用于“已验证用户”主题。
-
单击“完成”。
-
要从策略中删除主题,请选择相应主题并单击“删除”。您可以通过单击主题名称来编辑任何主题定义。
向常规策略添加条件
-
如果已创建了策略,请单击要为其添加条件的策略的名称。如果尚未创建策略,参见使用 Access Manager 控制台创建常规策略
-
在“条件”列表中单击“新建”。
-
选择条件类型,然后单击“下一步”。
-
定义条件类型字段。
-
单击“完成”。
向常规策略添加响应提供者
-
如果已创建了策略,请单击要为其添加响应提供者的策略的名称。如果尚未创建策略,参见使用 Access Manager 控制台创建常规策略 。
-
在“响应提供者”列表中单击“新建”。
-
请输入响应提供者的名称。
-
定义以下值:
- StaticAttribute
-
这是属性值格式的静态属性,在存储于策略中的 IDResponseProvider 实例中进行定义。
- DynamicAttribute
-
应首先在相应领域的“策略配置服务”中定义此处所选择的响应属性。所定义的属性名称应为已配置数据存储库 (IDRepository) 中现有属性名称的子集。有关如何定义属性的详细信息,参见“策略配置”属性定义。要选择特定属性或多个属性,请按住 "Ctrl" 键并单击鼠标左键。
-
单击“完成”。
-
要从策略中删除响应提供者,请选择相应主题,然后单击“删除”。您可以通过单击响应提供者名称来编辑任何响应提供者的定义。
修改引用策略
可将领域的策略定义和决策委托给使用引用策略的不同领域。 自定义引用项可用于从任意策略目标点获取策略决策。 一旦创建了引用策略,便可添加或修改相关的规则、引用项和资源提供者。
在引用策略中添加或修改规则
-
如果已创建了策略,请单击要为其添加规则的策略的名称。否则,参见使用 Access Manager 控制台创建引用策略 。
-
在“规则”菜单中单击“新建”。
-
请为规则选择以下任一默认服务类型。如果策略可用的服务较多时,您看到的列表可能会比较长:
- 搜索服务
-
为搜索服务查询定义授权操作,并通过指定资源的 Web 服务客户机修改调用的协议。
- Liberty 个人配置文件服务
-
为 Liberty 个人配置文件服务查询定义授权操作,并通过指定资源的 Web 服务客户机修改调用的协议。
- URL 策略代理
-
定义 URL 策略代理服务的授权操作。它用于定义保护 HTTP 和 HTTPS URL 的策略。这是 Access Manager 策略最常见的用途。
-
单击“下一步”。
-
请输入规则的名称及其资源名称。
目前,Access Manager 策略代理只支持 http:// 和 https:// 资源,而不支持使用 IP 地址代替主机名。
协议、主机、端口和资源名称都支持通配符。例如:
http*://*:*/*.html
对于“URL 策略代理”服务,如果未输入端口号,则 http:// 的默认端口号是 80,https:// 的默认端口号是 443。
注 –步骤 6 和 7 对引用策略不适用。
-
单击“完成”。
在策略中添加或修改引用项
-
如果已经创建了策略,请单击要为其添加响应提供者的策略的名称。如果尚未创建策略,参见使用 Access Manager 控制台创建引用策略 。
-
在“引用”列表中,单击“新建”。
-
在“规则”字段中定义资源。这些字段包括:
引用— 显示当前引用类型。
名称— 输入引用的名称。
资源名称— 输入资源的名称。
过滤器—为将在“值”字段中显示的领域名称指定过滤器。默认情况下,该字段将显示所有领域名称。
值 —选择引用的领域名称。
-
单击“完成”。
要从策略中移除引用,请选择该引用,然后单击“删除”。
您可以通过单击引用名称旁边的“编辑”链接来编辑任何引用定义。
向引用策略添加响应提供者
-
如果已创建了策略,请单击要为其添加响应提供者的策略的名称。如果尚未创建策略,参见使用 Access Manager 控制台创建引用策略 。
-
在“响应提供者”列表中单击“新建”。
-
请输入响应提供者的名称。
-
定义以下值:
- StaticAttribute
-
这是属性值格式的静态属性,在存储于策略中的 IDResponseProvider 实例中进行定义。
- DynamicAttribute
-
应首先在相应领域的“策略配置服务”中定义此处所选择的响应属性。所定义的属性名称应为已配置数据存储库 (IDRepository) 中现有属性名称的子集。有关如何定义属性的详细信息,参见“策略配置”属性定义。要选择特定属性或多个属性,请按住 "Ctrl" 键并单击鼠标左键。
-
单击“完成”。
-
要从策略中删除响应提供者,请选择相应主题,然后单击“删除”。您可以通过单击响应提供者名称来编辑任何响应提供者的定义。
- © 2010, Oracle Corporation and/or its affiliates