Dialogfeld "Regel"

casso13de
HID_rule
Inhalt
Im Dialogfeld "Regel" können Sie Richtlinienregeln erstellen und bearbeiten.
Das Dialogfeld enthält folgende Abschnitte:
  • Allgemein
    Identifiziert die Regel.
    • Name
      Gibt den Namen der Regel an.
    • Beschreibung
      (Optional) Gibt eine Beschreibung der Regel an.
  • Attribute – Bereich und Ressource
    Definiert den Bereich und Ressourcen.
    • Ressource
      Gibt die Ressource an, die die Regel schützt, und aktiviert oder deaktiviert die Verwendung von regulären Ausdrücken in der Regel.
    • Gültige Ressource
      Zeigt die gesamte Ressourcenzeichenfolge an. Die effektive Ressource ist der gesamte Ressourcenpfad, den die Regel schützt. Die effektive Ressource besteht aus:
      • Agent.
      • Alle Ressourcenfilter, die von übergeordneten Bereichen verkettet sind, die über dem von Ihnen ausgewählten Bereich vorhanden sind.
      • Der Ressourcenfilter des im Bereichs, der im Feld "Bereich" angegeben ist.
      • Die Ressource, die Sie in das Feld "Ressource" eingegeben haben.
      Beispielsweise, wenn Sie folgende Einträge erstellen:
      • Realm1 Agent = Agent1
      • Agent1 IP Address = 123.123.12.12
      • Realm1 with Resource Filter = /dir
      • Rule1 Resource = /myfile.html
      Rule1 protects 123.123.12.12/
      Agent1_web_server
      /dir/myfile.html.
    • Regulärer Ausdruck
      Gibt an, dass eine Ressource eine bestimmte Datei oder ein Ausdruck sein kann, die bzw. der Ressourcenübereinstimmung mit regulären Ausdrücken verwendet.
  • Attribute - Erlauben/Ablehnen und Aktivieren/Deaktivieren
    Sie können angeben:
    • Ob der Richtlinienserver den Zugriff auf eine geschützte Ressource erlauben oder ablehnen muss, wenn die Regel ausgelöst wird.
    • Ob die Regel aktiviert ist.
    • Zugriff gewähren
      Ermöglicht es den Benutzern, die ordnungsgemäß authentifiziert und der Richtlinie, die die Regel enthält, zugeordnet sind, auf die Ressource zuzugreifen.
    • Zugriff verweigern
      Verweigert den Benutzern, die ordnungsgemäß authentifiziert und in der Richtlinie, die die Regel enthält, angegeben sind, den Zugriff auf die Ressource.
    • Aktiviert
      Aktiviert die Regel.
  • Attribute – Aktion
    Gibt die Aktion des Web-Agenten oder das Ereignis an, die bzw. das die Regel auslöst. Die Optionen für die Scroll-Liste "Aktion" variiert, je nachdem, ob Sie eine Web-Agent-Aktion oder ein Ereignis für die Authentifizierung/Autorisierung oder ein Ereignis für die Annahme von Identitäten auswählen.
  • Web Agent Actions (Web-Agent-Aktionen)
    Gibt an, dass die Regel für die HTTP-Aktion oder Aktionen, die Sie aus der Aktionsliste auswählen, ausgelöst werden muss.
    Wenn
    CA SiteMinder® Web Services Security
    installiert ist, sind folgende Aktionen verfügbar:
    • ProcessSOAP
      Unterstützt eingehende XML-Meldungen, die in einem SOAP-Envelope eingebunden sind.
    • ProcessXML
      Unterstützt eingehende rohe XML-Meldungen, die nicht in einem SOAP-Envelope eingebunden sind.
  • Authentifizierungsereignisse
    Gibt an, dass die Regel für das Authentifizierungsereignis, das Sie aus der Aktionsliste ausgewählt haben, ausgelöst werden muss:
    • OnAuthAccept
      Erfolgt bei der erfolgreichen Authentifizierung eines Benutzers. Sie können dieses Ereignis verwenden, um einen Benutzer nach einer erfolgreichen Authentifizierung umzuleiten.
    • OnAuthAcceptCredentials
      Erfolgt nur während der Anmeldeebene. Die Benutzeranmeldeinformationen werden angezeigt, und eine neue Sitzung wird erstellt.
    • OnAuthAttempt
      Erfolgt, wenn ein Benutzer nicht authentifiziert werden konnte, weil kein Benutzername angegeben wurde.
    • OnAuthChallenge
      Wird in benutzerdefinierten Authentifizierungsschemen verwendet, um eine Antwort auszulösen.
    • OnAuthReject.
      Erfolgt, wenn ein Benutzer, der an eine Richtlinie gebunden ist, nicht authentifiziert werden konnte. Der Benutzer muss an die Richtlinie gebunden sein, um die Regel auszulösen.
    • OnAuthUserNotFound
      Dieses Ereignis wird nur verwendet, um aktive Antworten auszulösen. Verwenden Sie dieses Ereignis nicht, um Antworten auszulösen, die keine aktiven Antworten sind.
  • Autorisierungsereignisse
    Gibt an, dass die Regel für das Autorisierungsereignis, das Sie aus der Aktionsliste ausgewählt haben, ausgelöst werden muss:
    • OnAccessAccept
      Erfolgt, wenn der Richtlinienserver einen Benutzer für den Zugriff auf die Ressource erfolgreich autorisiert.
    • OnAccessReject
      Erfolgt, wenn der Richtlinienserver einen Benutzer ablehnt, weil der Benutzer nicht für den Zugriff auf die Ressource autorisiert ist.
  • Ereignisse der Annahme von Identitäten
    Gibt an, dass die Regel für das Ereignis für die Annahme von Identitäten, das Sie aus der Aktionsliste ausgewählt haben, ausgelöst werden muss:
    • ImpersonationStart
      Ermöglicht den Beginn einer Sitzung für die Annahme von Identitäten, wenn diese in einer entsprechende Richtlinie enthalten ist.
    • ImpersonationStartUser
      Ermöglicht den Identitätswechsel für Benutzer, wenn diese in einer entsprechenden Richtlinie enthalten sind.
  • Aktion
    Listet die jeweiligen Ereignisse für den ausgewählten Ereignistyp auf.
  • Erweitert
    Gibt die Zeiteinschränkungen und aktive Regelkonfigurationen an.
    • Zeiteinschränkungen
      Gibt das Zeitintervall an, in dem eine Regel angewendet wird. Klicken Sie auf "Festlegen", um das Dialogfeld "Zeiteinschränkungen" zu öffnen.
    • Aktive Regel
    Eine aktive Regel ist eine benutzerdefinierte Funktion, die mithilfe von APIs erstellt wird.
    Bibliotheksname
    Gibt den Namen der freigegebenen Bibliothek an, die die aktive Regel unterstützt. Sie können einen Pfad in den Namen der Bibliothek einfügen, was allerdings nicht erforderlich ist. Wenn Sie keinen Pfad angeben, verwendet der Richtlinienserver den Standardpfad für Ihr System, um zur Laufzeit nach der freigegebenen Bibliothek zu suchen. Fügen Sie keine Dateierweiterung für den Namen der freigegebenen Bibliothek ein.
    Beispiel
    : Die freigegebene Bibliothek auf der Windows-Plattform hat den Namen "lib.dll" und befindet sich im Verzeichnis "\
    siteminder_home
    \bin\". Geben Sie m Feld "Bibliotheksname" den Wert "
    lib
    " ein, um die Bibliothek anzugeben.
    Funktionsname
    Gibt die Funktion in der freigegebenen Bibliothek an, die die aktive Regel implementiert.
    Function Parameter(s) (Funktionsparameter)
    Listet die Parameter auf, die an die Funktion in der freigegebenen Bibliothek übergeben werden.
    Aktive Regel
    Zeigt das aktive Regelskript an.
Festlegen des Felds "Ressource" im Dialogfeld "Regel"
Das Feld "Ressource" im Dialogfeld "Regel" gibt die Ressource an, die von der Regel geschützt wird. Eine Ressource kann eine bestimmte Datei oder ein Ausdruck sein, der Ressourcenübereinstimmung oder reguläre Ausdrücke verwendet, um mehrere Dateien einzuschließen.
Die Ressource, die Sie im Ressourcenfeld angeben, wird an den Ressourcenfilter des Bereichs, der die Regel enthält, angehängt. Wenn der Ressourcenfilter mit einem Schrägstrich (/) endet, dann sollte der Ressourceneintrag nicht mit / beginnen.
Beispiel
  • Ressourcenfilter ist: /dir1/
  • Ressource ist: /file.html
Die Regel versucht irrtümlicherweise "/dir1//file.html" zu schützen.
  • Ressourcenfeld sollte sein: file.html
Die Regel schützt dann: /dir1/file.html.
Regeln, die nicht mit einem Schrägstrich enden
Wenn Sie eine Regel angeben, die mit nicht mit einem Schrägstrich (/) endet, und wenn Sie dann den Schrägstrich löschen, platziert die Verwaltungsoberfläche automatisch ein Sternchen (*) in das Ressourcenfeld. Dadurch wird angegeben, dass die Regel Ressourcen und übereinstimmende Verzeichnisse schützt, die sich innerhalb des Bereichs befinden.
Beispiel
  • Ressourcenfilter ist: /dir1
    Sie löschen den Schrägstrich (/), den die Verwaltungsoberfläche automatisch in die Regel einfügt. Anschließend wird ein Sternchen (*) in das Ressourcenfeld eingefügt.
  • Die geschützte Ressource ist:
    agent
    /dir1*.
    Diese Ressource schützt alles in "/dir1" ebenso wie in "/dir11", "/dir12" usw.
    Wenn Sie die standardmäßige Ressource verwenden ( / im Ressourcenfeld), ist die geschützte Ressource "
    agent
    /dir1/*", die alle Dateien und Verzeichnisse einschließt, die im Verzeichnis dir1 enthalten sind. Die Ressource schließt jedoch nicht "
    agent
    /dir11" oder "
    agent
    /dir12" ein.
Kombinieren von Ressourcenfiltern und Ressourcen
Es ist möglich, eine Kombination aus leicht abweichenden Ressourcenfiltern zu Bereichen zuzuweisen. Außerdem können Ressourcen zu Regeln zugewiesen werden, die die gleiche wirksame URL bilden.
Beispiel
  • Sie erstellen einen Bereich mit dem Ressourcenfilter "/dir1" und fügen eine Regel hinzu, die "/index.html" schützt.
  • Sie können dann einen separaten Bereich mit dem Ressourcenfilter "/dir1/" erstellen, der "index.html" schützt. Beide Kombinationen aus Bereich und Regel ergeben die URL "
    agent
    /dir1/index.html".
"/dir1/" ist der längste übereinstimmende Bereich und hat somit Vorrang in der Richtlinienverarbeitung. Richtlinien, die den Bereich mit dem Ressourcenfilter "/dir1/" enthalten, haben Vorrang vor Richtlinien, die den Ressourcenfilter "/dir1" enthalten. Dies kann unerwartetes Verhalten von Administratoren verursachen, die Richtlinien erstellen, die die Kombination aus Bereich und Regel mit dem Ressourcenfilter "/dir1" enthalten.