Documentazione dell'infrastruttura Oracle Cloud

Configurazione di un criterio di autorizzazione SSO

Creare un criterio di autorizzazione per ogni risorsa nell'applicazione enterprise e definire le condizioni in cui agli utenti è consentito o negato l'accesso alla risorsa.

Nota

I criteri di autorizzazione funzionano solo per le risorse protette con il metodo di autenticazione Form o token di accesso in un criterio di autenticazione. Se la risorsa è protetta con qualsiasi altro metodo di autenticazione, App Gateway non esegue il controllo delle autorizzazioni quando gli utenti tentano di accedere alla risorsa utilizzando un browser Web.

I criteri di autorizzazione definiscono le condizioni in base alle quali agli utenti è consentito o negato l'accesso alle risorse dell'applicazione. Quando Gateway applicazioni intercetta una richiesta HTTP a un endpoint delle risorse, Gateway applicazioni verifica se l'applicazione enterprise in IAM contiene criteri di autorizzazione per la risorsa. In tal caso, il gateway applicazioni verifica se la richiesta HTTP corrisponde a una delle regole configurate per consentire o negare l'accesso.

Ad esempio, è possibile configurare una regola di consenso per consentire a tutti i membri del gruppo Dipendenti di accedere alla risorsa /myapp/private/home e configurare una regola di rifiuto per negare l'accesso a questa risorsa per gli utenti autenticati dal provider di identità IDP SAML esterno personale.

  1. Nella pagina elenco Domini, selezionare il dominio in cui si desidera apportare le modifiche. Se è necessaria assistenza per trovare la pagina della lista per il dominio, vedere Elenco dei domini di Identity.
  2. Nella pagina dei dettagli, selezionare Applicazioni integrate. Viene visualizzato un elenco di applicazioni nel dominio.
  3. Selezionare l'applicazione enterprise da modificare.
  4. Nella pagina Dettagli applicazione selezionare Configurazione SSO, quindi selezionare Modifica configurazione SSO.
  5. Nella sezione Criterio di autorizzazione, selezionare Time to live (minuti) per definire per quanto tempo il gateway applicazioni inserisce nella cache qualsiasi valutazione dei criteri di autorizzazione eseguita.
    Mediante l'inserimento nella cache di queste valutazioni dei criteri, il gateway applicazioni non deve comunicare con IAM nella successiva richiesta HTTP effettuata dall'utente per la stessa risorsa.
  6. Nella sezione Consenti regole selezionare Aggiungi regola di consenso, specificare un nome regola, quindi completare i campi riportati di seguito.
    Aggiungi opzioni regola di consenso

    Condizioni

    Descrizione

    Risorsa da includere

    Selezionare una delle risorse configurate nell'applicazione enterprise.

    Metodo HTTP

    Selezionare i metodi HTTP associati a questa regola. La regola è valida solo per i metodi HTTP selezionati.

    Autenticazione del provider di identità (facoltativo)

    (Facoltativo) Selezionare uno dei provider di identità attivi in IAM. Se si lascia vuoto questo campo, per l'autenticazione verranno utilizzate le altre condizioni. Se l'utente accede utilizzando uno di questi provider di identità, il gateway applicazioni accede alla risorsa. IDP locale indica gli utenti autenticati da IAM.

    Appartenenza a gruppo

    Selezionare i gruppi di IAM. Se l'utente connesso è membro di uno dei gruppi selezionati, il gateway applicazioni consente l'accesso alla risorsa.

    Escludi utenti

    Selezionare gli utenti IAM. Se l'utente connesso non è uno degli utenti selezionati, il gateway applicazioni consente l'accesso alla risorsa.

    Filtra in base all'indirizzo IP client

    Selezionare l'intervallo di indirizzi IP da cui viene effettuata la richiesta HTTP.

    • Ovunque: il gateway applicazioni non convalida l'indirizzo IP da cui è stata effettuata la richiesta HTTP.
    • Limita ai seguenti perimetri di rete: selezionare questa opzione, quindi selezionare i perimetri di rete associati a questa regola. Se l'indirizzo IP da cui è stata effettuata la richiesta HTTP è specificato in uno dei perimetri di rete, Access Gateway consente l'accesso alla risorsa.

    Limita periodo di tempo di accesso

    Selezionare un'ora del giorno (Da e A), selezionare i giorni della settimana, quindi il fuso orario in cui la regola è valida.

    Gateway applicazioni consente l'accesso alla risorsa solo se la richiesta HTTP viene effettuata entro il periodo configurato.
    Tutte le condizioni configurate per una regola di consenso devono essere soddisfatte in modo che il gateway applicazioni possa eseguire l'azione configurata per la regola.
  7. Nella sezione Azioni della finestra Aggiungi regola di consenso, selezionare +Another Intestazione, immettere il nome per l'intestazione HTTP, quindi selezionare un attributo utente come valore. Ripetere questo passo per tutte le intestazioni che si desidera configurare per questa regola.
    Se all'utente è consentito l'accesso alla risorsa, Gateway applicazioni aggiunge queste variabili di intestazione con i valori corrispondenti alla richiesta HTTP prima di inoltrare la richiesta all'applicazione.
  8. Selezionare Aggiungi regola di consenso per aggiungere la regola di consenso.
  9. Nella sezione Nega regole, selezionare Aggiungi regola di rifiuto, specificare un nome regola, quindi completare i campi riportati di seguito.
    Aggiungi opzioni regola di negazione

    Condizioni

    Descrizione

    Risorsa da includere

    Selezionare una delle risorse configurate per l'applicazione enterprise.

    Metodo HTTP

    Selezionare i metodi HTTP da associare a questa regola.

    Autenticazione del provider di identità

    Selezionare i provider di identità attivi in IAM. Se l'utente ha effettuato l'accesso utilizzando uno di questi provider di identità, il gateway applicazioni nega l'accesso alla risorsa. IDP locale indica gli utenti autenticati da IAM.

    Appartenenza a gruppo

    Selezionare i gruppi IAM. Se l'utente connesso è membro di uno dei gruppi selezionati, Gateway applicazioni nega l'accesso alla risorsa.

    Escludi utenti

    Selezionare gli utenti IAM. Se l'utente connesso non è uno degli utenti selezionati, Gateway applicazioni nega l'accesso alla risorsa.

    Filtra in base all'indirizzo IP client

    Selezionare l'intervallo di indirizzi IP da cui viene effettuata la richiesta HTTP.

    • Ovunque: il gateway applicazioni non convalida l'indirizzo IP da cui è stata effettuata la richiesta HTTP.
    • Limita ai seguenti perimetri di rete: selezionare questa opzione, quindi selezionare i perimetri di rete da associare a questa regola. Se l'indirizzo IP da cui è stata effettuata la richiesta HTTP è specificato come uno dei perimetri di rete, Access Gateway nega l'accesso alla risorsa.

    Limita periodo di tempo di accesso

    Selezionare un'ora del giorno (Da e A), selezionare i giorni della settimana, quindi il fuso orario in cui la regola è valida.

    Gateway applicazioni nega l'accesso alla risorsa se la richiesta HTTP viene effettuata entro il periodo configurato.
    Tutte le condizioni configurate per una regola di negazione devono essere soddisfatte in modo che il gateway applicazioni possa eseguire l'azione configurata per la regola.
  10. Nella sezione Azioni della finestra Aggiungi regola di negazione, selezionare l'azione che il gateway applicazioni deve eseguire quando una condizione della regola di negazione corrisponde alla richiesta HTTP della risorsa.
    • Disconnetti utente: esegue il logout dell'utente da IAM.
  11. Selezionare Aggiungi regola di rifiuto per aggiungere la regola di rifiuto.
  12. Selezionare Salva modifiche.