Dialogfeld "Regel"
casso127figsbrde
HID_rule
Im Dialogfeld "Regel" können Sie Richtlinienregeln erstellen und bearbeiten.
Das Dialogfeld enthält folgende Abschnitte:
- AllgemeinIdentifiziert die Regel.
- NameGibt den Namen der Regel an.
- Beschreibung(Optional) Gibt eine Beschreibung der Regel an.
- Attribute – Bereich und RessourceDefiniert den Bereich und Ressourcen.
- RessourceGibt die Ressource an, die die Regel schützt, und aktiviert oder deaktiviert die Verwendung von regulären Ausdrücken in der Regel.
- Gültige RessourceZeigt die gesamte Ressourcenzeichenfolge an. Die effektive Ressource ist der gesamte Ressourcenpfad, den die Regel schützt. Die effektive Ressource besteht aus:
- -Agenten übergibt.
- Alle Ressourcenfilter, die von übergeordneten Bereichen verkettet sind, die über dem von Ihnen ausgewählten Bereich vorhanden sind.
- Der Ressourcenfilter des im Bereichs, der im Feld "Bereich" angegeben ist.
- Die Ressource, die Sie in das Feld "Ressource" eingegeben haben.
- Realm1 Agent = Agent1
- Agent1 IP Address = 123.123.12.12
- Realm1 with Resource Filter = /dir
- Rule1 Resource = /myfile.html
Agent1_web_server/dir/myfile.html. - Regulärer AusdruckGibt an, dass eine Ressource eine bestimmte Datei oder ein Ausdruck sein kann, die bzw. der Ressourcenübereinstimmung mit regulären Ausdrücken verwendet.
- Attribute - Erlauben/Ablehnen und Aktivieren/DeaktivierenSie können angeben:
- Ob der Richtlinienserver den Zugriff auf eine geschützte Ressource erlauben oder ablehnen muss, wenn die Regel ausgelöst wird.
- Ob die Regel aktiviert ist.
- Zugriff gewährenErmöglicht es den Benutzern, die ordnungsgemäß authentifiziert und der Richtlinie, die die Regel enthält, zugeordnet sind, auf die Ressource zuzugreifen.
- Zugriff verweigernVerweigert den Benutzern, die ordnungsgemäß authentifiziert und in der Richtlinie, die die Regel enthält, angegeben sind, den Zugriff auf die Ressource.
- AktiviertAktiviert die Regel.
- Attribute – AktionGibt die Aktion des Web-Agenten oder das Ereignis an, die bzw. das die Regel auslöst. Die Optionen für die Scroll-Liste "Aktion" variiert, je nachdem, ob Sie eine Web-Agent-Aktion oder ein Ereignis für die Authentifizierung/Autorisierung oder ein Ereignis für die Annahme von Identitäten auswählen.
- Web Agent Actions (Web-Agent-Aktionen)Gibt an, dass die Regel für die HTTP-Aktion oder Aktionen, die Sie aus der Aktionsliste auswählen, ausgelöst werden muss.WennCA SiteMinder® Web Services Securityinstalliert ist, sind folgende Aktionen verfügbar:
- ProcessSOAPUnterstützt eingehende XML-Meldungen, die in einem SOAP-Envelope eingebunden sind.
- ProcessXMLUnterstützt eingehende rohe XML-Meldungen, die nicht in einem SOAP-Envelope eingebunden sind.
- AuthentifizierungsereignisseGibt an, dass die Regel für das Authentifizierungsereignis, das Sie aus der Aktionsliste ausgewählt haben, ausgelöst werden muss:
- OnAuthAcceptErfolgt bei der erfolgreichen Authentifizierung eines Benutzers. Sie können dieses Ereignis verwenden, um einen Benutzer nach einer erfolgreichen Authentifizierung umzuleiten.
- OnAuthAcceptCredentialsErfolgt nur während der Anmeldeebene. Die Benutzeranmeldeinformationen werden angezeigt, und eine neue Sitzung wird erstellt.
- OnAuthAttemptErfolgt, wenn ein Benutzer nicht authentifiziert werden konnte, weil kein Benutzername angegeben wurde.
- OnAuthChallengeWird in benutzerdefinierten Authentifizierungsschemen verwendet, um eine Antwort auszulösen.
- OnAuthReject.Erfolgt, wenn ein Benutzer, der an eine Richtlinie gebunden ist, nicht authentifiziert werden konnte. Der Benutzer muss an die Richtlinie gebunden sein, um die Regel auszulösen.
- OnAuthUserNotFoundDieses Ereignis wird nur verwendet, um aktive Antworten auszulösen. Verwenden Sie dieses Ereignis nicht, um Antworten auszulösen, die keine aktiven Antworten sind.
- AutorisierungsereignisseGibt an, dass die Regel für das Autorisierungsereignis, das Sie aus der Aktionsliste ausgewählt haben, ausgelöst werden muss:
- OnAccessAcceptErfolgt, wenn der Richtlinienserver einen Benutzer für den Zugriff auf die Ressource erfolgreich autorisiert.
- OnAccessRejectErfolgt, wenn der Richtlinienserver einen Benutzer ablehnt, weil der Benutzer nicht für den Zugriff auf die Ressource autorisiert ist.
- Ereignisse der Annahme von IdentitätenGibt an, dass die Regel für das Ereignis für die Annahme von Identitäten, das Sie aus der Aktionsliste ausgewählt haben, ausgelöst werden muss:
- ImpersonationStartErmöglicht den Beginn einer Sitzung für die Annahme von Identitäten, wenn diese in einer entsprechende Richtlinie enthalten ist.
- ImpersonationStartUserErmöglicht den Identitätswechsel für Benutzer, wenn diese in einer entsprechenden Richtlinie enthalten sind.
- AktionListet die jeweiligen Ereignisse für den ausgewählten Ereignistyp auf.
- ErweitertGibt die Zeiteinschränkungen und aktive Regelkonfigurationen an.
- ZeiteinschränkungenGibt das Zeitintervall an, in dem eine Regel angewendet wird. Klicken Sie auf "Festlegen", um das Dialogfeld "Zeiteinschränkungen" zu öffnen.
- Aktive Regel
Eine aktive Regel ist eine benutzerdefinierte Funktion, die mithilfe von APIs erstellt wird.BibliotheksnameGibt den Namen der freigegebenen Bibliothek an, die die aktive Regel unterstützt. Sie können einen Pfad in den Namen der Bibliothek einfügen, was allerdings nicht erforderlich ist. Wenn Sie keinen Pfad angeben, verwendet der Richtlinienserver den Standardpfad für Ihr System, um zur Laufzeit nach der freigegebenen Bibliothek zu suchen. Fügen Sie keine Dateierweiterung für den Namen der freigegebenen Bibliothek ein.Beispiel: Die freigegebene Bibliothek auf der Windows-Plattform hat den Namen "lib.dll" und befindet sich im Verzeichnis "\siteminder_home\bin\". Geben Sie m Feld "Bibliotheksname" den Wert "lib" ein, um die Bibliothek anzugeben.FunktionsnameGibt die Funktion in der freigegebenen Bibliothek an, die die aktive Regel implementiert.Function Parameter(s) (Funktionsparameter)Listet die Parameter auf, die an die Funktion in der freigegebenen Bibliothek übergeben werden.Aktive RegelZeigt das aktive Regelskript an.
Festlegen des Felds "Ressource" im Dialogfeld "Regel"
Das Feld "Ressource" im Dialogfeld "Regel" gibt die Ressource an, die von der Regel geschützt wird. Eine Ressource kann eine bestimmte Datei oder ein Ausdruck sein, der Ressourcenübereinstimmung oder reguläre Ausdrücke verwendet, um mehrere Dateien einzuschließen.
Die Ressource, die Sie im Ressourcenfeld angeben, wird an den Ressourcenfilter des Bereichs, der die Regel enthält, angehängt. Wenn der Ressourcenfilter mit einem Schrägstrich (/) endet, dann sollte der Ressourceneintrag nicht mit / beginnen.
Beispiel
- Ressourcenfilter ist: /dir1/
- Ressource ist: /file.html
Die Regel versucht irrtümlicherweise "/dir1//file.html" zu schützen.
- Ressourcenfeld sollte sein: file.html
Die Regel schützt dann: /dir1/file.html.
Regeln, die nicht mit einem Schrägstrich enden
Wenn Sie eine Regel angeben, die mit nicht mit einem Schrägstrich (/) endet, und wenn Sie dann den Schrägstrich löschen, platziert die Verwaltungsoberfläche automatisch ein Sternchen (*) in das Ressourcenfeld. Dadurch wird angegeben, dass die Regel Ressourcen und übereinstimmende Verzeichnisse schützt, die sich innerhalb des Bereichs befinden.
Beispiel
- Ressourcenfilter ist: /dir1Sie löschen den Schrägstrich (/), den die Verwaltungsoberfläche automatisch in die Regel einfügt. Anschließend wird ein Sternchen (*) in das Ressourcenfeld eingefügt.
- Die geschützte Ressource ist:agent/dir1*.Diese Ressource schützt alles in "/dir1" ebenso wie in "/dir11", "/dir12" usw.Wenn Sie die standardmäßige Ressource verwenden ( / im Ressourcenfeld), ist die geschützte Ressource "agent/dir1/*", die alle Dateien und Verzeichnisse einschließt, die im Verzeichnis dir1 enthalten sind. Die Ressource schließt jedoch nicht "agent/dir11" oder "agent/dir12" ein.
Kombinieren von Ressourcenfiltern und Ressourcen
Es ist möglich, eine Kombination aus leicht abweichenden Ressourcenfiltern zu Bereichen zuzuweisen. Außerdem können Ressourcen zu Regeln zugewiesen werden, die die gleiche wirksame URL bilden.
Beispiel
- Sie erstellen einen Bereich mit dem Ressourcenfilter "/dir1" und fügen eine Regel hinzu, die "/index.html" schützt.
- Sie können dann einen separaten Bereich mit dem Ressourcenfilter "/dir1/" erstellen, der "index.html" schützt. Beide Kombinationen aus Bereich und Regel ergeben die URL "agent/dir1/index.html".
"/dir1/" ist der längste übereinstimmende Bereich und hat somit Vorrang in der Richtlinienverarbeitung. Richtlinien, die den Bereich mit dem Ressourcenfilter "/dir1/" enthalten, haben Vorrang vor Richtlinien, die den Ressourcenfilter "/dir1" enthalten. Dies kann unerwartetes Verhalten von Administratoren verursachen, die Richtlinien erstellen, die die Kombination aus Bereich und Regel mit dem Ressourcenfilter "/dir1" enthalten.