命名和描述新规则
可以选择命名并描述新规则。使用此页面可输入描述性文本,每当 Identity Manager 显示规则时,这些描述性文本就会显示在该规则名称旁边。请输入简洁易懂且能够描述规则的描述。此描述显示在 Identity Manager 的“查看策略违规”页中。
图 14–2 审计策略向导:输入规则描述屏幕
例如,如果要创建一条规则,用以确定 Oracle ERP responsibilityKey 属性值同时为 Payable User 和 Receivable User 的用户,则可在“描述”字段中输入以下文本:确定同时具有应付款用户和应收款用户职责的用户。
使用“注释”字段提供有关规则的任何其他信息。
选择规则引用的资源
使用此页面可以选择规则要引用的资源。每个规则变量必须对应于此资源的一个属性。您有权查看的所有资源将显示在此选项列表中。在此例中,选择 Oracle ERP。
图 14–3 审计策略向导:选择资源屏幕
注 –
支持每个可用资源适配器的大多数(不是全部)属性。有关可用的特定属性的信息,请参见《Sun Identity Manager 8.1 Resources Reference》。
单击“下一步”移至下一页。
创建规则表达式
使用此屏幕输入新规则的规则表达式。此示例创建一条规则,在该规则中,用户的 Oracle ERP responsibilityKey 属性值不能同时为 Payable User 和 Receivable User 属性值。
创建规则表达式
-
从可用属性列表中选择用户属性。此属性将直接对应于规则变量。
-
从列表中选择逻辑条件。有效条件包括 =(等于)、!=(不等于)、<(小于)、<=(小于等于)、>(大于)、>=(大于等于)、is true、is null、is not null、is empty 和 contains。针对此示例的用途,您可以在可能的属性条件列表中选择 contains。
-
输入表达式的值。例如,如果输入 Payable user,则指定了 responsibilityKeys 属性值为 Payable user 的 Oracle ERP 用户。
-
(可选)单击 AND 或 OR 运算符添加另一行并创建另一个表达式。
图 14–4 审计策略向导:选择规则表达式屏幕
此规则返回一个布尔值。如果两个语句都为真,则策略规则返回 TRUE 值,这样便导致策略违规。
注 –Identity Manager 不支持规则嵌套控制。此外,如果使用审计策略向导创建在规则之间使用不同布尔运算符的策略,可能会产生无法预测的结果,原因是未指定评估顺序。
对于复杂的规则表达式,请使用 XML 编辑器创建规则(而不是使用审计策略向导)。通过使用 XML 编辑器,您可以在必要时否定创建的内容,从而仅在规则之间使用单个布尔运算符。
以下代码示例显示了您已在此屏幕中创建的规则的 XML:
<Description>Payable User/Receivable User</Description> <RuleArgument name=’resource’ value=’Oracle ERP’> <Comments>Resource specified when audit policy was created.</Comments> <String>Oracle ERP</String> </RuleArgument> <and> <contains> <ref>accounts[Oracle ERP].responsibilityKeys</ref> <s>Receivable User</s> </contains> <contains> <ref>accounts[Oracle ERP].responsibilityKeys</ref> <s>Payables User</s> </contains> </and> <MemberObjectGroups> <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/> </MemberObjectGroups> </Rule>要从规则中删除表达式,请选中属性条件,然后单击“删除”。
单击“下一步”继续使用审计策略向导。可通过添加现有规则或再次使用向导来添加更多规则。
- © 2010, Oracle Corporation and/or its affiliates