Sun Java System Access Manager 7.1 管理指南

管理策略

建立一般策略或參照策略並加入 Access Manager 後，您即可透過 Access Manager 主控台管理策略，方法是修改規則、主體、條件與參照。

修改一般策略

透過 [策略] 標籤，您可修改用來定義存取權限的一般策略。您可定義和配置數個規則、主體、條件和資源主較程式。此節列出和說明其步驟。

增加或修改一般策略的規則

若您已建立策略，按一下您要增加規則的策略名稱。若還沒建立，請參閱以 Access Manager 主控台建立一般策略。

於 [規則] 功能表下，按一下 [新建]。

為規則選取下列預設服務類型之一。啟用策略的服務越多，您可以參閱的清單就越大：

探索服務

定義探索服務查詢的授權動作，並修改 Web 服務用戶端對特定資源的協定呼叫。

Liberty 個人設定檔服務

定義 Liberty 個人設定檔服務查詢的授權動作，並修改 Web 服務用戶端對特定資源的協定呼叫。

URL 策略代理程式

定義 URL 策略代理程式服務的授權動作。可用來定義保護 HTTP 及 HTTPS URL 的策略。這是 Access Manager 策略最常用的使用案例。

按 [下一步]。

輸入規則的名稱與資源名稱。

目前，Access Manager 策略代理程式僅支援 http:// 與 https:// 資源，而不支援以 IP 位址取代主機名稱。

協定、主機、連接埠及資源名稱等均支援使用萬用字元。例如：
http*://*:*/*.html
對 URL 策略代理程式服務而言，若未輸入連接埠埠號，則 http:// 的預設埠號為 80、https:// 的預設埠號為 443。

為此規則選取動作。依據服務類型，您可選取下列項目：
- 查尋 (探索服務)
- 更新 (探索服務)
- 修改 (Liberty 個人設定檔服務)
- 查詢 (Liberty 個人設定檔服務)
- GET (URL 策略代理程式)
- POST (URL 策略代理程式)

選取動作值。
- 互動同意 — 呼叫 Liberty 互動協定以達成資源同意。此值僅用於 Liberty 個人設定檔服務類型。
- 互動值 — 呼叫 Liberty 互動協定以取得資源上的值。此值僅用於 Liberty 個人設定檔服務類型。
- 允許 — 可讓您存取與規則中定義的資源相符的資源。
- 拒絕 — 不允許您存取與規則中定義的資源相符的資源。
  
  策略中的拒絕規則總是要優先於允許規則。例如，如果指定的資源有兩種策略，一種是拒絕存取，另一種是允許存取，則結果是拒絕存取 (假如同時滿足這兩種策略條件)。由於拒絕策略可能導致這兩種策略之間產生潛在的衝突，因此建議您使用拒絕策略時要非常謹慎。通常，策略定義程序應該僅使用允許規則，在所有策略均不適於完成此拒絕存取時才使用預設拒絕規則。
  
  如果使用明確的拒絕規則，即使有一個或多個策略允許存取，透過不同主體如角色和或群組成員身份為給定使用者指定的策略也可能會導致拒絕對資源存取。例如，如果存在一個適用於員工角色之資源的拒絕策略，還存在另一個適用於管理員角色之相同資源的允許策略，系統將會拒絕指定給使用者 (員工角色和管理員角色) 的策略決策。
  
  解決此問題的一種方法為使用條件外掛程式設計策略。在上述情況中，「角色條件」(將拒絕策略套用於認證為員工角色之使用者，並將允許策略套用至認證為經理角色之使用者) 協助區分這兩種策略。另一種方法為使用 authentication level 條件，其中管理員角色是在較高認證層級進行認證。

按一下 [完成]。

增加或修改一般策略的主體

若您已建立策略，按一下您要增加主體的策略名稱。若您尚未建立策略，請參閱以 Access Manager 主控台建立一般策略。

於 [主體] 清單下，按一下 [新建]。

選取其中一個預設主體類型。如需主體類型的說明，請參閱主體

按 [下一步]。

輸入此主體的名稱。

選取或取消選取 [排除] 欄位。

如果未選取此欄位 (預設)，則此策略將套用於屬於此主體成員的身份。如果選取此欄位，則此策略將套用於不屬於此主體成員的身份。

如果策略中存在多重主體，並且至少一個主體表示策略套用於給定身份，則策略將套用於此身份。

執行搜尋，以便顯示要加入至此主體的識別。此步驟不適用於 [已認證的使用者] 主體或 [Web 服務用戶端] 主體。

預設 (*) 搜尋式樣將顯示所有合格的項目。

選取要為此主體加入的個別身份，或按一下 [全部加入] 以立即加入所有身份。按一下 [新增]，以將識別移至選取的清單。此步驟不適用於認證使用者主體。

按一下 [完成]。

若要從策略中移除某主體，請選取此主體並按一下 [刪除]。按一下主體名稱可以編輯任何主體定義。

將條件增加至一般策略

若您已建立策略，按一下您要增加規則的策略名稱。若您尚未建立策略，請參閱以 Access Manager 主控台建立一般策略。

於 [條件] 清單下，按一下 [新建]。

選取條件類型並按 [下一步]。

定義條件類型的欄位。

按一下 [完成]。

將回應提供者增加至一般策略

若您已建立策略，按一下您要增加回應提供者的策略名稱。若您尚未建立策略，請參閱以 Access Manager 主控台建立一般策略。

於 [回應提供者] 清單下，按一下 [新建]。

輸入回應提供者的名稱。

定義下列值：

StaticAttribute

這些是格式為屬性值的靜態屬性，定義在儲存於策略中的 IDResponseProvider 的實例內。

DynamicAttribute

此處所選擇的回應屬性首先需要於對應之範圍的「策略配置服務」中定義。定義的屬性名稱應該是那些存在於所配置資料存放區 (IDReposotories) 中的屬性名稱的子集。如需如何定義屬性的詳細資料，請參閱「策略配置」屬性定義。若要選取特定或多個屬性，請按住 Control 鍵，並按一下滑鼠左鍵。

按一下 [完成]。

若要從策略中移除回應提供者，請選取主體，然後按一下 [刪除]。按一下名稱可以編輯任何回應提供者定義。

修改參照策略

您可將範圍的策略定義和決策委派其他使用參照策略的範圍。自訂參照可用以從任何策略目標點取得策略決策。建立參照策略後，可增加或修改關聯的規則、參照和資源提供者。

增加或修改參照策略的規則

若您已建立策略，按一下您要增加規則的策略名稱。若還沒建立，請參閱以 Access Manager 主控台建立參照策略。

於 [規則] 功能表下，按一下 [新建]。

為規則選取下列預設服務類型之一。啟用策略的服務越多，您可以參閱的清單就越大：

探索服務

定義探索服務查詢的授權動作，並修改 Web 服務用戶端對特定資源的協定呼叫。

Liberty 個人設定檔服務

定義 Liberty 個人設定檔服務查詢的授權動作，並修改 Web 服務用戶端對特定資源的協定呼叫。

URL 策略代理程式

定義 URL 策略代理程式服務的授權動作。可用來定義保護 HTTP 及 HTTPS URL 的策略。這是 Access Manager 策略最常用的使用案例。

按 [下一步]。

輸入規則的名稱與資源名稱。

目前，Access Manager 策略代理程式僅支援 http:// 與 https:// 資源，而不支援以 IP 位址取代主機名稱。

協定、主機、連接埠及資源名稱等均支援使用萬用字元。例如：
http*://*:*/*.html
對 URL 策略代理程式服務而言，若未輸入連接埠埠號，則 http:// 的預設埠號為 80、https:// 的預設埠號為 443。

備註 –
步驟 6 與 7 不適用於參照策略。

按一下 [完成]。

增加或修改策略的參照

若您已建立策略，按一下您要增加回應提供者的策略名稱。若您尚未建立策略，請參閱以 Access Manager 主控台建立參照策略。

於 [參照] 清單下，按一下 [新增]。

定義 [規則] 欄位中的資源。這些欄位包括：

參照— 顯示目前的參照類型。

名稱— 輸入參照的名稱。

資源名稱— 輸入資源的名稱。

篩選器— 指定將於 [值] 欄位中顯示之範圍名稱的篩選器。依預設，將顯示所有範圍名稱。

值— 選取參照的範圍名稱。

按一下 [完成]。

若要從策略中移除某個參照，請選取此參照，然後按一下 [刪除]。

可以透過按一下參照名稱旁邊的 [編輯] 連結，編輯任何參照定義。

將回應提供者增加至參照策略

若您已建立策略，按一下您要增加回應提供者的策略名稱。若您尚未建立策略，請參閱以 Access Manager 主控台建立參照策略。

於 [回應提供者] 清單下，按一下 [新建]。

輸入回應提供者的名稱。

定義下列值：

StaticAttribute

這些是格式為屬性值的靜態屬性，定義在儲存於策略中的 IDResponseProvider 的實例內。

DynamicAttribute

此處所選擇的回應屬性首先需要於對應之範圍的「策略配置服務」中定義。定義的屬性名稱應該是那些存在於所配置資料存放區 (IDReposotories) 中的屬性名稱的子集。如需如何定義屬性的詳細資料，請參閱「策略配置」屬性定義。若要選取特定或多個屬性，請按住 Control 鍵，並按一下滑鼠左鍵。

按一下 [完成]。

若要從策略中移除回應提供者，請選取主體，然後按一下 [刪除]。按一下名稱可以編輯任何回應提供者定義。