Sun Identity Manager 8.1 业务管理员指南

Procedure创建规则表达式

  1. 从可用属性列表中选择用户属性。此属性将直接对应于规则变量。

  2. 从列表中选择逻辑条件。有效条件包括 =(等于)、!=(不等于)、<(小于)、<=(小于等于)、>(大于)、>=(大于等于)、is true、is null、is not null、is empty 和 contains。针对此示例的用途,您可以在可能的属性条件列表中选择 contains

  3. 输入表达式的值。例如,如果输入 Payable user,则指定了 responsibilityKeys 属性值为 Payable user 的 Oracle ERP 用户。

  4. (可选)单击 ANDOR 运算符添加另一行并创建另一个表达式。

    图 14–4 审计策略向导:选择规则表达式屏幕

    该图显示了审计策略向导中的选择规则表达式屏幕

    此规则返回一个布尔值。如果两个语句都为真,则策略规则返回 TRUE 值,这样便导致策略违规。


    注 –

    Identity Manager 不支持规则嵌套控制。此外,如果使用审计策略向导创建在规则之间使用不同布尔运算符的策略,可能会产生无法预测的结果,原因是未指定评估顺序。

    对于复杂的规则表达式,请使用 XML 编辑器创建规则(而不是使用审计策略向导)。通过使用 XML 编辑器,您可以在必要时否定创建的内容,从而仅在规则之间使用单个布尔运算符。


    以下代码示例显示了您已在此屏幕中创建的规则的 XML:


    <Description>Payable User/Receivable User</Description>
      <RuleArgument name=’resource’ value=’Oracle ERP’>
        <Comments>Resource specified when  audit policy was created.</Comments>
        <String>Oracle ERP</String>
      </RuleArgument>
        <and>
          <contains>
            <ref>accounts[Oracle ERP].responsibilityKeys</ref>
            <s>Receivable User</s>
          </contains>
          <contains>
            <ref>accounts[Oracle ERP].responsibilityKeys</ref>
            <s>Payables User</s>
          </contains>
        </and>
        <MemberObjectGroups>
          <ObjectRef type=’ObjectGroup’ id=’#ID#Top’ name=’Top’/>
        </MemberObjectGroups>
    </Rule>

    要从规则中删除表达式,请选中属性条件,然后单击“删除”。

    单击“下一步”继续使用审计策略向导。可通过添加现有规则或再次使用向导来添加更多规则。