Caixa de diálogo Regra
casso127figsbrbr
HID_rule
Na caixa de diálogo Regra, é possível criar e editar regras de políticas.
Essa caixa de diálogo contém as seguintes seções:
- GeralIdentifica a regra.
- NomeEspecifica o nome da regra.
- Descrição(Opcional) Especifica uma descrição da regra.
- Atributos – Realm e recursoDefine o realm e os recursos.
- RecursoEspecifica o recurso protegido pela regra e ativa ou desativa a utilização de expressão regular na regra.
- Recurso vigenteMostra toda a sequência de caracteres do recurso. O recurso vigente é todo o caminho do recurso protegido pela regra. O recurso vigente consiste em:
- .
- Todos os filtros de recursos concatenados de todos os realms pai que existem acima do realm selecionado.
- O filtro de recursos do realm especificado no campo Realm.
- O recurso que você inseriu no campo Recurso.
- Agente do Realm1 = Agent1
- Endereço IP do Agent1 = 123.123.12.12
- Realm1 com filtro de recursos = /dir
- Recurso de Rule1 = /myfile.html
Agent1_web_server/dir/myfile.html. - Expressão regularIndica que um recurso pode ser um arquivo específico ou uma expressão que usa a correspondência de recursos com expressões regulares.
- Atributos – Permitir/Negar e Ativar/DesativarPermite especificar:
- Se o servidor de políticas deve permitir ou negar o acesso a um recurso protegido, quando a regra é executada.
- Se a regra é ativada.
- Permitir acessoPermite que os usuários autenticados adequadamente que estão associados à diretiva que contém a regra acessem o recurso.
- Negar acessoNega o acesso de usuários autenticados adequadamente que estão especificados na diretiva que contém a regra.
- AtivadoAtiva a regra.
- Atributos – AçãoEspecifica a ação do agente web ou o evento que dispara a regra. As opções da lista de rolagem Ação dependem de você selecionar uma ação do agente web ou um evento de autenticação/autorização/impersonation.
- Ações do agente webEspecifica que a regra deve ser disparada para a ação ou as ações HTTP que você selecionar na lista Ações.Se oCA SiteMinder® Web Services Securityestiver instalado, as ações a seguir estão disponíveis:
- ProcessSOAPOferece suporte às mensagens XML de entrada encapsuladas com um envelope SOAP.
- ProcessXMLOferece suporte às mensagens XML brutas (não encapsuladas com um envelope SOAP).
- Eventos de autenticaçãoEspecifica que a regra deve ser disparada para o evento de autenticação selecionado na lista de ações:
- OnAuthAcceptOcorre quando um usuário é autenticado com êxito. Você pode usar esse evento para redirecionar um usuário após uma autenticação bem-sucedida.
- OnAuthAcceptCredentialsOcorre apenas durante o estágio de logon. As credenciais do usuário são apresentadas e geram a criação de uma nova sessão.
- OnAuthAttemptOcorre quando um usuário não consegue se autenticar porque nenhum nome de usuário foi fornecido.
- OnAuthChallengeUsado em esquemas de autenticação personalizados para disparar uma resposta.
- OnAuthRejectOcorre quando há uma falha na autenticação de um usuário vinculado a uma diretiva. O usuário deve estar vinculado à diretiva para que a regra seja disparada.
- OnAuthUserNotFoundEsse evento é usado apenas para disparar respostas ativas. Não use esse evento para disparar qualquer resposta que não seja uma resposta ativa.
- Eventos de autorizaçãoEspecifica que a regra deve ser disparada para o evento de autorização selecionado na lista de ações:
- OnAccessAcceptOcorre quando o servidor de políticas é bem sucedido ao autorizar um usuário a acessar o recurso.
- OnAccessRejectOcorre quando o servidor de políticas rejeita um usuário, porque ele não está autorizado a acessar o recurso.
- Eventos de impersonationEspecifica que a regra deve ser disparada para o evento de impersonation selecionado na lista de ações:
- ImpersonationStartPermite que uma sessão de impersonation seja iniciada quando for incluída em uma diretiva adequada.
- ImpersonationStartUserPermite que um conjunto de usuários seja personificado quando for incluído em uma diretiva adequada.
- AçãoLista os respectivos eventos do tipo de evento selecionado.
- AvançadoEspecifica as restrições de tempo e as configurações de regra ativa.
- Restrições de data e horaEspecifica o intervalo de tempo no qual a regra se aplica. Clique em Conjunto para abrir a caixa de diálogo Restrições de tempo.
- Regra ativa
Uma regra ativa é uma função personalizada criada por meio de APIs.Nome da bibliotecaEspecifica o nome da biblioteca compartilhada que oferece suporte à regra ativa. É possível incluir um caminho no nome da biblioteca; no entanto, isso não é obrigatório. Se você não especificar um caminho, o servidor de políticas usará o caminho padrão de seu sistema para procurar pela biblioteca compartilhada no tempo de execução. Não inclua uma extensão de arquivo no nome da biblioteca compartilhada.Exemplo:o nome da biblioteca compartilhada na plataforma Windows é lib.dll e está localizada no diretório \siteminder_home\bin\. Digitelibno campo Nome da biblioteca para especificar a biblioteca.Nome da funçãoEspecifica a função na biblioteca compartilhada que implementa a regra ativa.Parâmetros da funçãoLista os parâmetros que são transmitidos para a função na biblioteca compartilhada.Regra ativaExibe o script da regra ativa.
Campo Definindo o recurso na caixa de diálogo Regra
O campo Recurso na caixa de diálogo Regra especifica o recurso protegido pela regra. Um recurso pode ser um arquivo específico ou uma expressão que usa a correspondência de recursos ou expressões regulares para incluir vários arquivos.
O recurso especificado no campo Recurso é anexado ao filtro de recursos do realm que contém a regra. Se o filtro de recursos terminar com uma barra (/), o entrada do recurso não deve começar com /.
Exemplo
- O filtro de recursos é: /dir1/
- O recurso é: /file.html
A regra tenta incorretamente proteger /dir1//file.html.
- O campo Recurso deve ser: file.html
Dessa maneira, a regra protegerá: /dir1/file.html.
Regras que não terminam com uma barra
Se você especificar uma regra que não termine com uma barra (/) e, em seguida, excluir a barra, a interface administrativa colocará automaticamente um asterisco (*) no campo Recurso, o que indica que a regra protegerá todos os recursos e todos os diretórios correspondentes que estiverem no realm.
Exemplo
- O filtro de recursos é: /dir1Exclua a barra (/) que a interface administrativa inseriu automaticamente na regra e, em seguida, insira um asterisco (*) no campo Recurso
- O recurso protegido é:agent/dir1*.Esse recurso protege todos os itens em /dir1, bem como em /dir11, /dir12, etc.Se você usar o recurso padrão (/ no campo Recurso), o recurso protegido seráagent/dir1/*, o que inclui todos os arquivos e diretórios contidos no diretório dir1, mas não incluiagent/dir11 ouagent/dir12.
Combinando recursos e filtros de recursos
É possível atribuir uma combinação de filtros de recursos um pouco diferentes a realms e recursos a regras que formam o mesmo URL efetivo.
Exemplo
- Crie um realm com um filtro de recursos /dir1 e adicione uma regra que protege /index.html.
- Em seguida, você pode criar um realm separado com um filtro de recursos /dir1/ que protege index.html. Essas duas combinações de realm e regra geram o URLagent/dir1/index.html.
Como /dir1/ é o realm de correspondência mais longo, ele tem preferência no processamento da diretiva. As diretivas que incluem o realm com o filtro de recursos /dir1/ sempre têm preferência em relação às diretivas que incluem o filtro de recursos /dir1. Isso pode causar um comportamento inesperado para os administradores que criarem diretivas que incluem a combinação de realm-regra com o filtro de recursos /dir1.