一般策略
在 Access Manager 中,定義存取權限的策略是指一般策略。一般策略由規則、主體、條件及回應提供者組成。
規則
規則包含一個服務類型、一或多個動作,以及一個值。基本上,規則定義策略。
-
服務類型定義受保護資源的類型。
-
動作為一項可於資源上執行的作業之名稱;Web 伺服器動作的範例有:POST 或 GET。人力資源服務可允許的一個動作可以變更為一個住家電話號碼。
-
值定義動作的權限,例如允許或拒絕。
備註 –
部份服務可接受只定義動作但沒有資源。
主體
主體定義策略將影響的使用者或使用者集合 (例如,擁有特定角色的群組或使用者)。主體的一般原則是,只有當使用者為策略中至少一個主體的成員時,策略才適用。預設主體為:
- Access Manager 識別主體
-
此主體暗指您於 [範圍主體] 標籤下建立與管理的識別可做為主體的一個成員增加。
- 經認證的使用者
-
此主體類型表示具有有效 SSOToken 的任何使用者均為此主體的成員。
所有認證的使用者都將成為此主體的成員,即使這些使用者已在與定義策略之組織不同的範圍內進行認證。如果資源所有者想要將存取權限授予其他組織的使用者所管理的資源,這個功能很有用。若要限制對特定組織的成員存取保護的資源,請使用組織主體。
- Web 服務用戶端
-
此主體類型表示,如果包含在 SSOToken 中的任何主體之 DN 與此主體的任意所選值相符,則由 SSOToken 識別的 Web 服務用戶端 (WSC) 為此主體的成員。有效值為本機 JKS 鍵值儲存區中可信任憑證的 DN (與可信任 WSC 的憑證相對應)。此主體取決於 Liberty Web 服務架構,並且僅應該由 Liberty 服務提供者用來授權 WSC。
確定建立鍵值儲存區後再將此主體加入策略。以下位置可以找到設定鍵值儲存區的資訊:
AccessManager-base /SUNWam/samples/saml/xmlsig/keytool.html
在範圍的 [策略配置服務] 中選取下列的附加主體後,便可使用它們:
- Access Manager 角色
-
此主體類型表示 Access Manager 角色的任何成員均為此主體的成員。使用舊有模式下的 Access Manager 及基於版本 6.3 的主控台,可以建立 Access Manager 角色。這些角色具有 Access Manager 代管的物件類別。Access Manager 角色僅可透過代管 Access Manager 策略服務存取。
- LDAP 群組
-
此主體類型表示 LDAP 群組的任何成員均為此主體的成員。
- LDAP 角色
-
此主體類型表示 LDAP 角色的任何成員均為此主體的成員。LDAP 角色是使用 Directory Server 角色功能的任何角色定義。這些角色具有 Directory Server 角色定義代管的物件類別。可以在策略配置服務中修改 LDAP 角色搜尋篩選器,以縮小範圍和改善效能。
- LDAP 使用者
-
此主體類型表示任何 LDAP 使用者均為此主體的成員。
- 組織
-
此主體類型表示範圍的任何成員均為此主體的成員。
Access Manager 角色與 LDAP 角色的比較
Access Manager 角色是使用 Access Manager 建立的,這些角色具有 Access Manager 指派的物件類別。LDAP 角色是使用 Directory Server 角色功能的任何角色定義。這些角色具有 Directory Server 角色定義代管的物件類別。所有 Access Manager 角色皆可用來做為 Directory Server 角色。不過,不是所有的 Directory Server 角色都一定會是 Access Manager 角色。藉由配置策略配置服務,您可從現有目錄取用 LDAP 角色。Access Manager 角色僅可透過代管 Access Manager 策略服務存取。可以在策略配置服務中修改 LDAP 角色搜尋篩選器,以縮小範圍和改善效能。
巢式角色
在策略定義中,巢式角色可以正確評估為 LDAP 角色。
條件
條件可讓您定義對策略的限制。例如,如果您在為薪津應用程式定義策略,可以定義僅在特定幾小時限制此動作存取應用程式的條件。或者,如果請求來自給定 IP 位址集或企業內部網路,可能希望定義僅允許此動作存取的條件。
此條件可能還用於在同一網域的不同 URL 中配置不同的策略。例如,http://org.example.com/hr/*jsp 僅可以藉由 org.example.net 在上午 9 時至下午 5 時之間進行存取。配合使用 IP 條件與時間條件便可達此目的。將規則資源指定為 http://org.example.com/hr/*.jsp,此策略會套用於 http://org.example.com/hr 下的所有 JSP (包括子目錄中的 JSP)。
備註 –
參照、規則、資源、主體、條件、動作及值等術語分別對應於 policy.dtd 中的元素 Referral、Rule、ResourceName、Subject、Condition、Attribute 及 Value。
您可增加的預設條件有:
作用中的階段作業時間
- 最長階段作業時間
-
指定自階段作業初始開始時可套用策略的最大持續時間。
- 終止階段作業
-
選取此欄位時,如果階段作業時間超過 [最大階段作業時間] 欄位中定義所允許的最大時間,則使用者階段作業將被終止。
認證鏈
若使用者成功認證到指定範圍內的認證鏈接,則會套用策略。若未指定範圍,則在任何範圍內的認證鏈接中進行的認證都滿足條件。
認證層級 (大於或等於)
若使用者的認證層級大於或等於條件中設定的認證層級,則會套用策略。此屬性指示指定範圍內認證的信任層級。
認證層級 (小於或等於)
若使用者的認證層級小於或等於條件中設定的認證層級,則會套用策略。此屬性指示指定範圍內認證的信任層級。
認證模組實例
若使用者成功認證到指定範圍內的認證模組,則會套用策略。若未指定範圍,則在任何範圍內認證模組的認證都滿足條件。
目前的階段作業特性
根據使用者的 Access Manager 階段作業中設定的特性值來判定策略是否適用於請求。於策略評估期間,僅當使用者階段作業具有條件中定義的每個特性值時,條件才傳回 true。對於條件中以多重值定義於的特性,若記號具有至少一個條件中為特性列出的值即可。
IP 位址/DNS 名稱
- IP 位址自/至
-
指定 IP 位址的範圍。
- DNS 名稱
-
指定 DNS 名稱。此欄位可以為完整的主機名稱或以下之一格式的字串:
domainname
*.domainname
LDAP 篩選條件
當定義的 LDAP 篩選器在策略配置服務中指定的 LDAP 目錄中尋找使用者項目時,就會套用策略。這僅於定義策略所在的範圍內才適用。
範圍認證
時間 (星期幾、日期、時間和時區)
- 日期自/至
-
指定日期範圍。
- 時間
-
指定一天內的時間範圍。
- 星期幾
-
指定星期幾的範圍。
- 時區
-
指定時區 (標準或自訂)。自訂時區僅可為 Java 識別的時區 ID (例如,PST)。如果未指定值,則預設值為 Access Manager JVM 中設定的時區。
回應提供者
回應提供者為提供策略型回應屬性的外掛程式。回應提供者屬性會和策略決策一起傳送給 PEP。Access Manager 包括一個實作,即 IDResponseProvider。此版本的 Access Manager 不支援自訂回應提供者。代理程式 PEP 通常會將這些回應以標頭的形式傳遞給應用程式。應用程式通常使用這些屬性將應用程式頁面個人化,例如入口網站頁面。
策略建議
如果無法根據條件的決定來套用策略,條件可能會產生建議訊息,指出無法將策略套用至請求的原因。這些建議訊息會在策略決策中傳播至 [策略執行點]。[策略執行點] 可以擷取此建議,並嘗試採取適當的行動,例如將使用者重新導向回認證機制,以便進行更高層級認證。採取建議的適當行動後,接著,使用者可能會收到更高層級認證的提示,只要能夠使用策略,使用者可能可以存取資源。
以下類別有更多資訊:
com.sun.identity.policy.ConditionDecision.getAdvices()
如果條件不符,只有 AuthLevelCondiiton 和 AuthSchemeCondition 會提供建議。
AuthLevelCondition 建議與以下鍵值相關聯:
com.sun.identity.policy.plugin.AuthLevelCondition.AUTH_LEVEL_CONDITION_ADVICE
AuthSchemeCondition 建議與以下鍵值相關聯:
com.sun.identity.policy.plugin.AuthLevelCondition.AUTH_SCHEME_CONDITION_ADVICE
自訂條件也會產生建議。但是,Access Manager 策略代理程式僅回應認證層級認證和認證方案建議。可以寫入自訂代理程式來瞭解及回應其他建議,而現有 Access Manager 代理程式可以延伸來瞭解及回應其他建議。如需更多資訊,請參閱「Sun Java System Access Manager Policy Agent 2.2 User’s Guide」。
- © 2010, Oracle Corporation and/or its affiliates