Configuration d'une politique d'autorisation d'authentification unique

Créez une politique d'autorisation pour chaque ressource de votre application d'entreprise et définissez les conditions dans lesquelles l'accès à la ressource est autorisé ou refusé aux utilisateurs.

Note

Les politiques d'autorisation fonctionnent uniquement pour les ressources que vous protégez à l'aide de la méthode d'authentification Formulaire ou jeton d'accès dans une politique d'authentification. Si votre ressource est protégée par une autre méthode d'authentification, la passerelle d'application ne vérifie pas l'autorisation lorsque les utilisateurs tentent d'accéder à la ressource à l'aide d'un navigateur Web.

Les politiques d'autorisation définissent les conditions dans lesquelles les utilisateurs sont autorisés ou se voient refuser l'accès aux ressources d'application. Lorsque la passerelle d'application intercepte une demande HTTP à un point d'extrémité de ressource, elle vérifie si l'application d'entreprise dans GIA contient des politiques d'autorisation pour la ressource. Si tel est le cas, la passerelle d'application vérifie si la demande HTTP correspond à l'une des règles configurées pour autoriser ou refuser l'accès.

Par exemple, vous pouvez configurer une règle d'autorisation pour permettre à tous les membres du groupe Employés d'accéder à la ressource /myapp/private/home et configurer une règle de refus pour refuser l'accès à cette ressource aux utilisateurs authentifiés par le fournisseur d'identités Mon fournisseur d'identités SAML externe.

Dans la page de liste Domaines, sélectionnez le domaine dans lequel vous souhaitez apporter des modifications. Si vous avez besoin d'aide pour trouver la page de liste du domaine, voir Liste des domaines d'identité.
Dans la page des détails, sélectionnez Applications intégrées. Une liste d'applications du domaine s'affiche.
Sélectionnez l'application d'entreprise à modifier.
Dans la page Détails de l'application, sélectionnez Configuration d'authentification unique, puis Modifier la configuration d'authentification unique.
Dans la section Politique d'autorisation, sélectionnez Durée de vie (minutes) pour définir la durée pendant laquelle la passerelle d'application met en mémoire cache une évaluation de politique d'autorisation qui a été effectuée.
En mettant en mémoire cache ces évaluations de politique, la passerelle d'application n'a pas besoin de communiquer avec GIA dans la demande HTTP suivante effectuée par l'utilisateur pour la même ressource.

Dans la section Règles d'autorisation, sélectionnez Ajouter une règle d'autorisation, spécifiez un nom de règle, puis remplissez les champs suivants.

Ajouter des options de règle d'autorisation
Conditions	Description
Ressource à inclure	Sélectionnez l'une des ressources configurées dans l'application d'entreprise.
Méthode HTTP	Sélectionnez les méthodes HTTP associées à cette règle. La règle n'est valide que pour les méthodes HTTP sélectionnées.
Fournisseur d'identités (Facultatif)	(Facultatif) Effectuez une sélection parmi les fournisseurs d'identités actifs dans IAM. Si vous laissez ce champ vide, les autres conditions sont utilisées pour l'authentification. Si l'utilisateur se connecte à l'aide de l'un de ces fournisseurs d'identités, l'accès de la passerelle d'application à la ressource. Le fournisseur d'identités local fait référence aux utilisateurs authentifiés par GIA.
Membres de groupe	Sélectionnez les groupes IAM. Si l'utilisateur connecté est membre d'un des groupes sélectionnés, la passerelle d'application autorise l'accès à la ressource.
Exclure des utilisateurs	Sélectionnez des utilisateurs IAM. Si l'utilisateur connecté n'est pas l'un des utilisateurs sélectionnés, la passerelle d'application autorise l'accès à la ressource.
Filtrer par adresse IP de client	Sélectionnez l'intervalle d'adresses IP à partir duquel la demande HTTP est effectuée. Partout : La passerelle d'application ne valide pas l'adresse IP à partir de laquelle la demande HTTP a été effectuée. Restreindre aux périmètres de réseau suivants : Sélectionnez cette option, puis sélectionnez les périmètres de réseau associés à cette règle. Si l'adresse IP à partir de laquelle la demande HTTP a été effectuée est spécifiée dans l'un des périmètres de réseau, la passerelle d'accès autorise l'accès à la ressource.
Période de restriction d'accès	Sélectionnez l'heure du jour (De et À), sélectionnez les jours de la semaine, puis le fuseau horaire dans lequel la règle est valide. La passerelle d'application autorise l'accès à la ressource uniquement si la demande HTTP est effectuée dans la période configurée.

Toutes les conditions configurées pour une règle d'autorisation doivent être satisfaites pour que la passerelle d'application puisse exécuter l'action configurée pour la règle.

Dans la section Actions de la fenêtre Ajouter une règle d'autorisation, sélectionnez +Another En-tête, entrez le nom de l'en-tête HTTP, puis sélectionnez un attribut d'utilisateur comme valeur. Répétez cette étape pour tous les en-têtes à configurer pour cette règle.
Si l'utilisateur est autorisé à accéder à la ressource, la passerelle d'application ajoute ces variables d'en-tête avec les valeurs correspondantes à la demande HTTP avant de transmettre la demande à l'application.
Sélectionnez Ajouter une règle d'autorisation pour ajouter la règle d'autorisation.

Dans la section Règles de refus, sélectionnez Ajouter une règle de refus, spécifiez un nom de règle, puis remplissez les champs suivants.

Ajouter des options de règle de refus
Conditions	Description
Ressource à inclure	Sélectionnez l'une des ressources configurées pour l'application d'entreprise.
Méthode HTTP	Sélectionnez les méthodes HTTP à associer à cette règle.
Fournisseur d'identités pour l'authentification	Sélectionnez les fournisseurs d'identités actifs dans GIA. Si l'utilisateur est connecté à l'aide de l'un de ces fournisseurs d'identités, la passerelle d'aplplication refuse l'accès à la ressource. Le fournisseur d'identités local fait référence aux utilisateurs authentifiés par GIA.
Membres de groupe	Sélectionnez des groupes IAM. Si l'utilisateur connecté est membre d'un des groupes sélectionnés, la passerelle d'application refuse l'accès à la ressource.
Exclure des utilisateurs	Sélectionnez des utilisateurs GIA. Si l'utilisateur connecté n'est pas l'un des utilisateurs sélectionnés, la passerelle d'application refuse l'accès à la ressource.
Filtrer par adresse IP de client	Sélectionnez l'intervalle d'adresses IP à partir duquel la demande HTTP est effectuée. Partout : La passerelle d'application ne valide pas l'adresse IP à partir de laquelle la demande HTTP a été effectuée. Restreindre aux périmètres de réseau suivants : Sélectionnez cette option, puis sélectionnez les périmètres de réseau à associer à cette règle. Si l'adresse IP à partir de laquelle la demande HTTP a été effectuée est indiquée comme un des périmètres de réseau, la passerelle d'application refuse l'accès à la ressource.
Période de restriction d'accès	Sélectionnez l'heure du jour (De et À), sélectionnez les jours de la semaine, puis le fuseau horaire dans lequel la règle est valide. La passerelle d'application refuse l'accès à la ressource si la demande HTTP est effectuée dans la période configurée.

Toutes les conditions configurées pour une règle de refus doivent être satisfaites pour que la passerelle d'application puisse exécuter l'action configurée pour la règle.

Dans la section Actions de la fenêtre Ajouter une règle de refus, sélectionnez l'action que la passerelle d'application doit effectuer lorsqu'une condition de règle de refus correspond à la demande HTTP de la ressource.
- Déconnecter l'utilisateur : Déconnecte l'utilisateur de GIA.
Sélectionnez Ajouter une règle de refus pour ajouter la règle de refus.
Sélectionnez enregistrer les modifications.

Documentation sur Oracle Cloud Infrastructure

Configuration d'une politique d'autorisation d'authentification unique