Caixa de diálogo Regra

casso127figsbrbr
HID_rule
Conteúdo
Na caixa de diálogo Regra, é possível criar e editar regras de políticas.
Essa caixa de diálogo contém as seguintes seções:
  • Geral
    Identifica a regra.
    • Nome
      Especifica o nome da regra.
    • Descrição
      (Opcional) Especifica uma descrição da regra.
  • Atributos – Realm e recurso
    Define o realm e os recursos.
    • Recurso
      Especifica o recurso protegido pela regra e ativa ou desativa a utilização de expressão regular na regra.
    • Recurso vigente
      Mostra toda a sequência de caracteres do recurso. O recurso vigente é todo o caminho do recurso protegido pela regra. O recurso vigente consiste em:
      • .
      • Todos os filtros de recursos concatenados de todos os realms pai que existem acima do realm selecionado.
      • O filtro de recursos do realm especificado no campo Realm.
      • O recurso que você inseriu no campo Recurso.
      Por exemplo, se você criar as entradas a seguir:
      • Agente do Realm1 = Agent1
      • Endereço IP do Agent1 = 123.123.12.12
      • Realm1 com filtro de recursos = /dir
      • Recurso de Rule1 = /myfile.html
      Rule1 protegerá 123.123.12.12/
      Agent1_web_server
      /dir/myfile.html.
    • Expressão regular
      Indica que um recurso pode ser um arquivo específico ou uma expressão que usa a correspondência de recursos com expressões regulares.
  • Atributos – Permitir/Negar e Ativar/Desativar
    Permite especificar:
    • Se o servidor de políticas deve permitir ou negar o acesso a um recurso protegido, quando a regra é executada.
    • Se a regra é ativada.
    • Permitir acesso
      Permite que os usuários autenticados adequadamente que estão associados à diretiva que contém a regra acessem o recurso.
    • Negar acesso
      Nega o acesso de usuários autenticados adequadamente que estão especificados na diretiva que contém a regra.
    • Ativado
      Ativa a regra.
  • Atributos – Ação
    Especifica a ação do agente web ou o evento que dispara a regra. As opções da lista de rolagem Ação dependem de você selecionar uma ação do agente web ou um evento de autenticação/autorização/impersonation.
  • Ações do agente web
    Especifica que a regra deve ser disparada para a ação ou as ações HTTP que você selecionar na lista Ações.
    Se o
    CA SiteMinder® Web Services Security
    estiver instalado, as ações a seguir estão disponíveis:
    • ProcessSOAP
      Oferece suporte às mensagens XML de entrada encapsuladas com um envelope SOAP.
    • ProcessXML
      Oferece suporte às mensagens XML brutas (não encapsuladas com um envelope SOAP).
  • Eventos de autenticação
    Especifica que a regra deve ser disparada para o evento de autenticação selecionado na lista de ações:
    • OnAuthAccept
      Ocorre quando um usuário é autenticado com êxito. Você pode usar esse evento para redirecionar um usuário após uma autenticação bem-sucedida.
    • OnAuthAcceptCredentials
      Ocorre apenas durante o estágio de logon. As credenciais do usuário são apresentadas e geram a criação de uma nova sessão.
    • OnAuthAttempt
      Ocorre quando um usuário não consegue se autenticar porque nenhum nome de usuário foi fornecido.
    • OnAuthChallenge
      Usado em esquemas de autenticação personalizados para disparar uma resposta.
    • OnAuthReject
      Ocorre quando há uma falha na autenticação de um usuário vinculado a uma diretiva. O usuário deve estar vinculado à diretiva para que a regra seja disparada.
    • OnAuthUserNotFound
      Esse evento é usado apenas para disparar respostas ativas. Não use esse evento para disparar qualquer resposta que não seja uma resposta ativa.
  • Eventos de autorização
    Especifica que a regra deve ser disparada para o evento de autorização selecionado na lista de ações:
    • OnAccessAccept
      Ocorre quando o servidor de políticas é bem sucedido ao autorizar um usuário a acessar o recurso.
    • OnAccessReject
      Ocorre quando o servidor de políticas rejeita um usuário, porque ele não está autorizado a acessar o recurso.
  • Eventos de impersonation
    Especifica que a regra deve ser disparada para o evento de impersonation selecionado na lista de ações:
    • ImpersonationStart
      Permite que uma sessão de impersonation seja iniciada quando for incluída em uma diretiva adequada.
    • ImpersonationStartUser
      Permite que um conjunto de usuários seja personificado quando for incluído em uma diretiva adequada.
  • Ação
    Lista os respectivos eventos do tipo de evento selecionado.
  • Avançado
    Especifica as restrições de tempo e as configurações de regra ativa.
    • Restrições de data e hora
      Especifica o intervalo de tempo no qual a regra se aplica. Clique em Conjunto para abrir a caixa de diálogo Restrições de tempo.
    • Regra ativa
    Uma regra ativa é uma função personalizada criada por meio de APIs.
    Nome da biblioteca
    Especifica o nome da biblioteca compartilhada que oferece suporte à regra ativa. É possível incluir um caminho no nome da biblioteca; no entanto, isso não é obrigatório. Se você não especificar um caminho, o servidor de políticas usará o caminho padrão de seu sistema para procurar pela biblioteca compartilhada no tempo de execução. Não inclua uma extensão de arquivo no nome da biblioteca compartilhada.
    Exemplo:
    o nome da biblioteca compartilhada na plataforma Windows é lib.dll e está localizada no diretório \
    siteminder_home
    \bin\. Digite
    lib
    no campo Nome da biblioteca para especificar a biblioteca.
    Nome da função
    Especifica a função na biblioteca compartilhada que implementa a regra ativa.
    Parâmetros da função
    Lista os parâmetros que são transmitidos para a função na biblioteca compartilhada.
    Regra ativa
    Exibe o script da regra ativa.
Campo Definindo o recurso na caixa de diálogo Regra
O campo Recurso na caixa de diálogo Regra especifica o recurso protegido pela regra. Um recurso pode ser um arquivo específico ou uma expressão que usa a correspondência de recursos ou expressões regulares para incluir vários arquivos.
O recurso especificado no campo Recurso é anexado ao filtro de recursos do realm que contém a regra. Se o filtro de recursos terminar com uma barra (/), o entrada do recurso não deve começar com /.
Exemplo
  • O filtro de recursos é: /dir1/
  • O recurso é: /file.html
A regra tenta incorretamente proteger /dir1//file.html.
  • O campo Recurso deve ser: file.html
Dessa maneira, a regra protegerá: /dir1/file.html.
Regras que não terminam com uma barra
Se você especificar uma regra que não termine com uma barra (/) e, em seguida, excluir a barra, a interface administrativa colocará automaticamente um asterisco (*) no campo Recurso, o que indica que a regra protegerá todos os recursos e todos os diretórios correspondentes que estiverem no realm.
Exemplo
  • O filtro de recursos é: /dir1
    Exclua a barra (/) que a interface administrativa inseriu automaticamente na regra e, em seguida, insira um asterisco (*) no campo Recurso
  • O recurso protegido é:
    agent
    /dir1*.
    Esse recurso protege todos os itens em /dir1, bem como em /dir11, /dir12, etc.
    Se você usar o recurso padrão (/ no campo Recurso), o recurso protegido será
    agent
    /dir1/*, o que inclui todos os arquivos e diretórios contidos no diretório dir1, mas não inclui
    agent
    /dir11 ou
    agent
    /dir12.
Combinando recursos e filtros de recursos
É possível atribuir uma combinação de filtros de recursos um pouco diferentes a realms e recursos a regras que formam o mesmo URL efetivo.
Exemplo
  • Crie um realm com um filtro de recursos /dir1 e adicione uma regra que protege /index.html.
  • Em seguida, você pode criar um realm separado com um filtro de recursos /dir1/ que protege index.html. Essas duas combinações de realm e regra geram o URL
    agent
    /dir1/index.html.
Como /dir1/ é o realm de correspondência mais longo, ele tem preferência no processamento da diretiva. As diretivas que incluem o realm com o filtro de recursos /dir1/ sempre têm preferência em relação às diretivas que incluem o filtro de recursos /dir1. Isso pode causar um comportamento inesperado para os administradores que criarem diretivas que incluem a combinação de realm-regra com o filtro de recursos /dir1.