Oracle Cloud Infrastructure - Dokumentation

SSO-Autorisierungs-Policy konfigurieren

Erstellen Sie eine Autorisierungs-Policy für jede Ressource in der Unternehmensanwendung, und definieren Sie die Bedingungen, unter denen Benutzern der Zugriff auf die Ressource erteilt oder verweigert wird.

Hinweis

Autorisierungs-Policys funktionieren nur für Ressourcen, die Sie mit einer Authentifizierungsmethode Formular oder Zugriffstoken in einer Authentifizierungs-Policy schützen. Wenn die Ressource mit einer anderen Authentifizierungsmethode geschützt ist, führt das App-Gateway keine Autorisierungsprüfung durch, wenn Benutzer versuchen, über einen Webbrowser auf die Ressource zuzugreifen.

Autorisierungs-Policys definieren die Bedingungen, unter denen der Zugriff auf Anwendungsressourcen für Benutzer erteilt oder verweigert wird. Wenn ein App-Gateway eine HTTP-Anforderung an einen Ressourcenendpunkt abfasst, prüft es, ob die Unternehmensanwendung in IAM Autorisierungs-Policys für die Ressource enthält. Wenn ja, prüft das App-Gateway, ob die HTTP-Anforderung mit einer der Regeln übereinstimmt, die für das Zulassen oder Verweigern des Zugriffs konfiguriert sind.

Beispiel: Sie können eine Zulassungsregel so konfigurieren, dass alle Mitglieder der Gruppe Mitarbeiter auf die Ressource /myapp/private/home zugreifen können, und dann können Sie eine Verweigerungsregel konfigurieren, um Benutzern, die vom Identitätsprovider Mein externer SAML-IDP authentifiziert werden, den Zugriff zu dieser Ressource zu verweigern.

  1. Wählen Sie auf der Listenseite Domains die Domain aus, in der Sie Änderungen vornehmen möchten. Wenn Sie Hilfe beim Suchen der Listenseite für die Domain benötigen, finden Sie weitere Informationen unter Identitätsdomains auflisten.
  2. Wählen Sie auf der Detailseite Integrierte Anwendungen aus. Eine Liste der Anwendungen in der Domain wird angezeigt.
  3. Wählen Sie die Unternehmensanwendung aus, die Sie ändern möchten.
  4. Wählen Sie auf der Seite Anwendungsdetails die Option SSO-Konfiguration und dann SSO-Konfiguration bearbeiten aus.
  5. Wählen Sie im Abschnitt Autorisierungs-Policy die Option Gültigkeitsdauer (Minuten) aus, um festzulegen, wie lange das App-Gateway eine ausgeführte Autorisierungs-Policy-Auswertung cacht.
    Durch das Caching dieser Policy-Auswertungen muss der App-Gateway bei nachfolgenden HTTP-Anforderungen des Benutzers für dieselbe Ressource nicht mit IAM kommunizieren.
  6. Wählen Sie im Abschnitt Zulassungsregeln die Option Zulassungsregel hinzufügen aus, geben Sie einen Regelnamen an, und füllen Sie die folgenden Felder vollständig aus.
    Optionen für "Zulassungsregel hinzufügen"

    Bedingungen

    Beschreibung

    Einzuschließende Ressourcen

    Wählen Sie eine der in der Unternehmensanwendung konfigurierten Ressourcen aus.

    HTTP-Methode

    Wählen Sie die HTTP-Methoden aus, die mit dieser Regel verknüpft sind. Die Regel ist nur für die ausgewählten HTTP-Methoden gültig.

    Identitätsprovider authentifizieren (optional)

    (Optional) Wählen Sie einen der aktiven Identitätsprovider in IAM aus. Wenn Sie dieses Feld leer lassen, werden die anderen Bedingungen für die Authentifizierung verwendet. Wenn sich der Benutzer mit einem dieser Identitätsprovider anmeldet, greift das App-Gateway auf die Ressource zu. Lokaler IDP bezieht sich auf Benutzer, die von IAM authentifiziert werden.

    Gruppenmitgliedschaft

    Wählen Sie die IAM-Gruppen. Wenn der angemeldete Benutzer Mitglied einer der ausgewählten Gruppen ist, ermöglicht das App-Gateway den Zugriff auf die Ressource.

    Benutzer ausschließen

    Wählen Sie IAM-Benutzer. Wenn der angemeldete Benutzer keiner der ausgewählten Benutzer sind, kann das App-Gateway auf die Ressource zugreifen.

    Nach Client-IP-Adresse filtern

    Wählen Sie den IP-Adressbereich aus, von dem die HTTP-Anforderung stammt.

    • Überall: Das App-Gateway validiert nicht die IP-Adresse, von der die HTTP-Anforderung stammt.
    • Auf die folgenden Netzwerkperimeter einschränken: Wählen Sie diese Option und dann die Netzwerkperimeter aus, die mit dieser Regel verknüpft sind. Wenn die IP-Adresse, von der die HTTP-Anforderung stammt, in einem der Netzwerkperimeter angegeben ist, ermöglicht das Zugriffsgateway den Zugriff auf die Ressource.

    Zugriffszeitraum beschränken

    Wählen Sie eine Uhrzeit (Von und Bis), die Wochentage und dann die Zeitzone aus, in der die Regel gültig ist.

    Das App-Gateway ermöglicht den Zugriff auf die Ressource nur, wenn die HTTP-Anforderung innerhalb des konfigurierten Zeitraums erfolgt.
    Alle für eine Zulassungsregel konfigurierten Bedingungen müssen erfüllt sein, damit das App-Gateway die für die Regel konfigurierte Aktion ausführen kann.
  7. Wählen Sie im Fenster Zulassungsregel hinzufügen im Abschnitt Aktionen die Option +Another Header aus, geben Sie den Namen für den HTTP-Header ein, und wählen Sie ein Benutzerattribut als Wert. Wiederholen Sie diesen Schritt für alle Header, die Sie für diese Regel konfigurieren möchten.
    Wenn der Benutzer auf die Ressource zugreifen darf, fügt das App-Gateway diese Headervariablen mit den entsprechenden Werten zur HTTP-Anforderung hinzu, bevor die Anforderung an die Anwendung weitergeleitet wird.
  8. Wählen Sie Zulassungsregel hinzufügen aus, um die Zulassungsregel hinzuzufügen.
  9. Wählen Sie im Abschnitt Verweigerungsregeln die Option Verweigerungsregel hinzufügen aus, geben Sie einen Regelnamen an, und füllen Sie die folgenden Felder ab.
    Optionen für "Verweigerungsregel hinzufügen"

    Bedingungen

    Beschreibung

    Einzuschließende Ressourcen

    Wählen Sie eine der für die Unternehmensanwendung konfigurierten Ressourcen aus.

    HTTP-Methode

    Wählen Sie die HTTP-Methoden aus, die mit dieser Regel verknüpft werden sollen.

    Authentifizierender Identitätsprovider

    Wählen Sie Identitätsprovider, die in IAM aktiv sind. Wenn der Benutzer über einen dieser Identitätsprovider angemeldet ist, verweigert das App-Gateway den Zugriff auf die Ressource. Lokaler IDP bezieht sich auf Benutzer, die von IAM authentifiziert werden.

    Gruppenmitgliedschaft

    Wählen Sie IAM-Gruppen. Wenn der angemeldete Benutzer Mitglied einer der ausgewählten Gruppen ist, verweigert das App-Gateway den Zugriff auf die Ressource.

    Benutzer ausschließen

    Wählen Sie die IAM-Benutzer. Wenn der angemelendete Benutzer keiner der ausgewählten Benutzer sind, verweigert App-Gateway dem Zugriff auf die Ressource.

    Nach Client-IP-Adresse filtern

    Wählen Sie den IP-Adressbereich aus, von dem die HTTP-Anforderung stammt.

    • Überall: Das App-Gateway validiert nicht die IP-Adresse, von der die HTTP-Anforderung stammt.
    • Auf die folgenden Netzwerkperimeter einschränken: Wählen Sie diese Option und dann die Netzwerkperimeter aus, die dieser Regel zugeordnet werden sollen. Wenn die IP-Adresse, von der die HTTP-Anforderung stammt, in einem der Netzwerkperimeter angegeben ist, verweigert das Zugriffsgateway den Zugriff auf die Ressource.

    Zugriffszeitraum beschränken

    Wählen Sie eine Uhrzeit (Von und Bis), die Wochentage und dann die Zeitzone aus, in der die Regel gültig ist.

    Das App-Gateway verweigert den Zugriff auf die Ressource, wenn die HTTP-Anforderung innerhalb des konfigurierten Zeitraums erfolgt.
    Alle für eine Verweigerungsregel konfigurierten Bedingungen müssen erfüllt sein, damit das App-Gateway die für die Regel konfigurierte Aktion ausführen kann.
  10. Wählen Sie im Fenster Verweigerungsregel hinzufügen im Abschnitt Aktionen die Aktion aus, die das App-Gateway ausführen muss, wenn eine Verweigerungsregelbedingung mit der HTTP-Anforderung der Ressource übereinstimmt.
    • Benutzer abmelden: Meldet den Benutzer von IAM ab.
  11. Wählen Sie Verweigerungsregel hinzufügen aus, um die Verweigerungsregel hinzuzufügen.
  12. Wählen Sie Änderungen speichern aus.