Cuadro de diálogo Regla

casso13es
HID_rule
Contenido
En el cuadro de diálogo Regla se crean y editan las reglas de políticas.
Este cuadro de diálogo contiene las siguientes secciones:
  • General
    Identifica la regla.
    • Nombre
      Especifica el nombre de la regla.
    • Descripción
      (Opcional) Especifica una descripción para la regla.
  • Atributos: Territorio y Recurso
    Define el territorio y los recursos.
    • Recurso
      Especifica el recurso que la regla protege y habilita o deshabilita el uso de expresiones regulares en la regla.
    • Recurso efectivo
      Muestra toda la cadena del recurso. El recurso efectivo es toda la ruta del recurso que la regla protege. El recurso efectivo está formado por los siguientes elementos:
      • Agente
      • Todos los filtros de recursos concatenados de algunos territorios principales que existen por encima del territorio seleccionado.
      • El filtro de recursos del territorio especificado en el campo Territorio.
      • El recurso que se introdujo en el campo Recurso.
      Por ejemplo, si se crean las entradas siguientes:
      • Realm1 Agent = Agent1
      • Agent1 IP Address = 123.123.12.12
      • Realm1 with Resource Filter = /dir
      • Rule1 Resource = /myfile.html
      Rule1 protects 123.123.12.12/
      Agent1_web_server
      /dir/myfile.html.
    • Expresión regular
      Especifica que un recurso puede ser un archivo específico o una expresión que utiliza un recurso que coincide con expresiones regulares.
  • Atributos: Permitir/denegar y habilitar/deshabilitar
    Le permite especificar:
    • Si el Servidor de políticas debe permitir o denegar el acceso a un recurso protegido, cuando se dispara la regla.
    • Si la regla está habilitada.
    • Permitir el acceso
      Permite que los usuarios autenticados que se asocian con la política que contiene la regla puedan acceder al recurso.
    • Denegar el acceso
      Deniega el acceso a los usuarios autenticados que se especifican en la política que contiene la regla.
    • Activado
      Habilita la regla.
  • Atributos: Acción
    Especifica la acción del Agente web o del evento que activa la regla. Las elecciones de la lista de desplazamiento Acción dependen de si se selecciona una acción del Agente web o un evento de autenticación/autorización/suplantación.
  • Web Agent Actions (Acciones del Agente web)
    Especifica que la regla debe dispararse para la acción o las acciones de HTTP que se seleccionan de la lista de Acciones.
    Si
    CA SiteMinder® Web Services Security
    está instalado, las acciones siguientes están disponibles:
    • ProcessSOAP
      Es compatible con los mensajes XML entrantes encapsulados con un sobre de SOAP.
    • ProcessXML
      Es compatible con los mensajes XML entrantes sin formato (no encapsulados con un sobre de SOAP).
  • Eventos de autenticación
    Especifica que la regla debe dispararse para el evento de autenticación que se seleccionó de la lista Acciones:
    • OnAuthAccept
      Tiene lugar cuando un usuario se autentica correctamente. Se puede utilizar este evento para redirigir a un usuario después de una autenticación correcta.
    • OnAuthAcceptCredentials
      Se produce solamente durante la etapa de inicio de sesión. Las credenciales de usuario se presentan y generan la creación de una sesión nueva.
    • OnAuthAttempt
      Se produce cuando un usuario no puede autenticarse porque no se proporcionó ningún nombre de usuario.
    • OnAuthChallenge
      Se utiliza en esquemas de autenticación personalizada para activar una respuesta.
    • OnAuthReject
      Se produce cuando un usuario vinculado a una política no puede autenticarse. El usuario debe estar vinculado a la política para que la regla se dispare.
    • OnAuthUserNotFound
      Este evento solamente se utiliza para activar respuestas activas. No utilice este evento para activar otra respuesta que no sea una respuesta activa.
  • Eventos de autorización
    Especifica que la regla debe dispararse para el evento de autorización que se seleccionó de la lista Acción:
    • OnAccessAccept
      Se produce cuando el Servidor de políticas autoriza correctamente un usuario para acceder al recurso.
    • OnAccessReject
      Se produce cuando el Servidor de políticas rechaza un usuario porque el usuario no está autorizado a acceder al recurso.
  • Eventos de representación
    Especifica que la regla debe dispararse para el evento de suplantación que se seleccionó de la lista Acciones:
    • ImpersonationStart
      Permite iniciar una sesión de suplantación cuando se incluye en la política adecuada.
    • ImpersonationStartUser
      Permite suplantar un conjunto de usuarios cuando se incluye en la política adecuada.
  • Acción
    Muestra una lista con los eventos respectivos al tipo de evento seleccionado.
  • Opciones avanzadas
    Especifica las restricciones de tiempo y las configuraciones de regla activas.
    • Restricciones del tiempo
      Especifica el intervalo de tiempo en el que se aplica una regla. Haga clic en Establecer para abrir el cuadro de diálogo Restricciones de tiempo.
    • Activar regla
    Una regla activa es una función personalizada que se crea mediante API.
    Nombre de la biblioteca
    Especifica el nombre de la biblioteca compartida que es compatible con la regla activa. Se puede incluir una ruta en el nombre de la biblioteca; sin embargo, no es obligatorio. Si no se especifica una ruta, el Servidor de políticas utiliza la ruta predeterminada para que el sistema busque la biblioteca compartida en el tiempo de ejecución. No incluya una extensión de archivo en el nombre de la biblioteca compartida.
    Ejemplo
    : la biblioteca compartida de la plataforma de Windows se llama lib.dll y se encuentra en el directorio \
    directorio_principal_siteminder
    \bin\. Escriba
    lib
    en el campo Nombre de la biblioteca para especificar la biblioteca.
    Nombre de la función
    Especifica la función de la biblioteca compartida que implementa la regla activa.
    Parámetros de la función
    Muestra en una lista los parámetros que se transfieren a la función de la biblioteca compartida.
    Activar regla
    Muestra el script de la regla activa.
Ajuste del campo Filtro de recursos del cuadro de diálogo Reglas
El campo Recurso del cuadro de diálogo Reglas especifica el recurso que la regla protege. Un recurso puede ser un archivo específico o una expresión que utiliza una coincidencia de recurso o expresiones regulares para incluir varios archivos.
El recurso que se especifica en el campo Recurso se añade al Filtro de recursos del territorio que contiene la regla. Si el Filtro de recursos termina por una barra diagonal (/), la entrada del Recurso no debe empezar con /.
Ejemplo
  • El filtro de recursos es: /dir1/
  • El recurso es: /file.html
La regla intenta erróneamente proteger /dir1//file.html.
  • El campo de recurso debe ser: file.html
De este modo, la regla protege: /dir1/file.html.
Reglas que no terminan con una barra diagonal
Si se especifica una regla que no termina con una barra diagonal (/) y se suprime la barra diagonal, la interfaz de usuario administrativa coloca automáticamente un asterisco (*) en el campo Recurso, que indica que la regla protege algunos recursos y directorios coincidentes que están dentro del territorio.
Ejemplo
  • El filtro de recursos es: /dir1
    Se suprime la barra diagonal (/) que la interfaz de usuario administrativa inserta automáticamente en la regla y, a continuación, se introduce un asterisco (*) en el campo Recurso.
  • El recurso protegido es:
    agent
    /dir1*.
    Este recurso lo protege todo en /dir1, así como /dir11, /dir12, etc.
    Si se utiliza el recurso predeterminado ( / en el campo Recurso), el recurso protegido es
    agent
    /dir1/*, que incluye todos los archivos y directorios contenidos en el directorio dir1, pero no
    incluye agent
    /dir11 ni
    agent
    /dir12.
Combinación de filtros de recursos y recursos
Es posible asignar una combinación de filtros de recursos algo diferentes a territorios y recursos a reglas que forman la misma dirección URL.
Ejemplo
  • Se crea un territorio con un filtro de recursos de /dir1 y se agrega una regla que protege /index.html.
  • A continuación, se puede crear un territorio separado con un filtro de recursos de /dir1/ que proteja index.html. Estas dos combinaciones de regla de territorio crean la dirección URL
    agent
    /dir1/index.html.
Como /dir1/ es el territorio coincidente más largo, tienen precedencia en el procesamiento de la política. Las políticas que incluyan el territorio con el filtro de recursos /dir1/ siempre llevarán precedencia sobre las políticas que incluya el filtro de recursos /dir1. Esto puede causar un comportamiento inesperado para los administradores que crean políticas que incluyen la combinación de regla y territorio con el filtro de recursos /dir1.