Cuadro de diálogo Regla
casso126figsbres
HID_rule
En el cuadro de diálogo Regla se crean y editan las reglas de políticas.
Este cuadro de diálogo contiene las siguientes secciones:
- GeneralIdentifica la regla.
- NombreEspecifica el nombre de la regla.
- Descripción(Opcional) Especifica una descripción para la regla.
- Atributos: Territorio y RecursoDefine el territorio y los recursos.
- RecursoEspecifica el recurso que la regla protege y habilita o deshabilita el uso de expresiones regulares en la regla.
- Recurso efectivoMuestra toda la cadena del recurso. El recurso efectivo es toda la ruta del recurso que la regla protege. El recurso efectivo está formado por los siguientes elementos:
- .
- Todos los filtros de recursos concatenados de algunos territorios principales que existen por encima del territorio seleccionado.
- El filtro de recursos del territorio especificado en el campo Territorio.
- El recurso que se introdujo en el campo Recurso.
- Realm1 Agent = Agent1
- Agent1 IP Address = 123.123.12.12
- Realm1 with Resource Filter = /dir
- Rule1 Resource = /myfile.html
Agent1_web_server/dir/myfile.html. - Expresión regularEspecifica que un recurso puede ser un archivo específico o una expresión que utiliza un recurso que coincide con expresiones regulares.
- Atributos: Permitir/denegar y habilitar/deshabilitarLe permite especificar:
- Si el Servidor de políticas debe permitir o denegar el acceso a un recurso protegido, cuando se dispara la regla.
- Si la regla está habilitada.
- Permitir el accesoPermite que los usuarios autenticados que se asocian con la política que contiene la regla puedan acceder al recurso.
- Denegar el accesoDeniega el acceso a los usuarios autenticados que se especifican en la política que contiene la regla.
- ActivadoHabilita la regla.
- Atributos: AcciónEspecifica la acción del Agente web o del evento que activa la regla. Las elecciones de la lista de desplazamiento Acción dependen de si se selecciona una acción del Agente web o un evento de autenticación/autorización/suplantación.
- Web Agent Actions (Acciones del Agente web)Especifica que la regla debe dispararse para la acción o las acciones de HTTP que se seleccionan de la lista de Acciones.SiCA SiteMinder® Web Services Securityestá instalado, las acciones siguientes están disponibles:
- ProcessSOAPEs compatible con los mensajes XML entrantes encapsulados con un sobre de SOAP.
- ProcessXMLEs compatible con los mensajes XML entrantes sin formato (no encapsulados con un sobre de SOAP).
- Eventos de autenticaciónEspecifica que la regla debe dispararse para el evento de autenticación que se seleccionó de la lista Acciones:
- OnAuthAcceptTiene lugar cuando un usuario se autentica correctamente. Se puede utilizar este evento para redirigir a un usuario después de una autenticación correcta.
- OnAuthAcceptCredentialsSe produce solamente durante la etapa de inicio de sesión. Las credenciales de usuario se presentan y generan la creación de una sesión nueva.
- OnAuthAttemptSe produce cuando un usuario no puede autenticarse porque no se proporcionó ningún nombre de usuario.
- OnAuthChallengeSe utiliza en esquemas de autenticación personalizada para activar una respuesta.
- OnAuthRejectSe produce cuando un usuario vinculado a una política no puede autenticarse. El usuario debe estar vinculado a la política para que la regla se dispare.
- OnAuthUserNotFoundEste evento solamente se utiliza para activar respuestas activas. No utilice este evento para activar otra respuesta que no sea una respuesta activa.
- Eventos de autorizaciónEspecifica que la regla debe dispararse para el evento de autorización que se seleccionó de la lista Acción:
- OnAccessAcceptSe produce cuando el Servidor de políticas autoriza correctamente un usuario para acceder al recurso.
- OnAccessRejectSe produce cuando el Servidor de políticas rechaza un usuario porque el usuario no está autorizado a acceder al recurso.
- Eventos de representaciónEspecifica que la regla debe dispararse para el evento de suplantación que se seleccionó de la lista Acciones:
- ImpersonationStartPermite iniciar una sesión de suplantación cuando se incluye en la política adecuada.
- ImpersonationStartUserPermite suplantar un conjunto de usuarios cuando se incluye en la política adecuada.
- AcciónMuestra una lista con los eventos respectivos al tipo de evento seleccionado.
- Opciones avanzadasEspecifica las restricciones de tiempo y las configuraciones de regla activas.
- Restricciones del tiempoEspecifica el intervalo de tiempo en el que se aplica una regla. Haga clic en Establecer para abrir el cuadro de diálogo Restricciones de tiempo.
- Activar regla
Una regla activa es una función personalizada que se crea mediante API.Nombre de la bibliotecaEspecifica el nombre de la biblioteca compartida que es compatible con la regla activa. Se puede incluir una ruta en el nombre de la biblioteca; sin embargo, no es obligatorio. Si no se especifica una ruta, el Servidor de políticas utiliza la ruta predeterminada para que el sistema busque la biblioteca compartida en el tiempo de ejecución. No incluya una extensión de archivo en el nombre de la biblioteca compartida.Ejemplo: la biblioteca compartida de la plataforma de Windows se llama lib.dll y se encuentra en el directorio \directorio_principal_siteminder\bin\. Escribaliben el campo Nombre de la biblioteca para especificar la biblioteca.Nombre de la funciónEspecifica la función de la biblioteca compartida que implementa la regla activa.Parámetros de la funciónMuestra en una lista los parámetros que se transfieren a la función de la biblioteca compartida.Activar reglaMuestra el script de la regla activa.
Ajuste del campo Filtro de recursos del cuadro de diálogo Reglas
El campo Recurso del cuadro de diálogo Reglas especifica el recurso que la regla protege. Un recurso puede ser un archivo específico o una expresión que utiliza una coincidencia de recurso o expresiones regulares para incluir varios archivos.
El recurso que se especifica en el campo Recurso se añade al Filtro de recursos del territorio que contiene la regla. Si el Filtro de recursos termina por una barra diagonal (/), la entrada del Recurso no debe empezar con /.
Ejemplo
- El filtro de recursos es: /dir1/
- El recurso es: /file.html
La regla intenta erróneamente proteger /dir1//file.html.
- El campo de recurso debe ser: file.html
De este modo, la regla protege: /dir1/file.html.
Reglas que no terminan con una barra diagonal
Si se especifica una regla que no termina con una barra diagonal (/) y se suprime la barra diagonal, la interfaz de usuario administrativa coloca automáticamente un asterisco (*) en el campo Recurso, que indica que la regla protege algunos recursos y directorios coincidentes que están dentro del territorio.
Ejemplo
- El filtro de recursos es: /dir1Se suprime la barra diagonal (/) que la interfaz de usuario administrativa inserta automáticamente en la regla y, a continuación, se introduce un asterisco (*) en el campo Recurso.
- El recurso protegido es:agent/dir1*.Este recurso lo protege todo en /dir1, así como /dir11, /dir12, etc.Si se utiliza el recurso predeterminado ( / en el campo Recurso), el recurso protegido esagent/dir1/*, que incluye todos los archivos y directorios contenidos en el directorio dir1, pero noincluye agent/dir11 niagent/dir12.
Combinación de filtros de recursos y recursos
Es posible asignar una combinación de filtros de recursos algo diferentes a territorios y recursos a reglas que forman la misma dirección URL.
Ejemplo
- Se crea un territorio con un filtro de recursos de /dir1 y se agrega una regla que protege /index.html.
- A continuación, se puede crear un territorio separado con un filtro de recursos de /dir1/ que proteja index.html. Estas dos combinaciones de regla de territorio crean la dirección URLagent/dir1/index.html.
Como /dir1/ es el territorio coincidente más largo, tienen precedencia en el procesamiento de la política. Las políticas que incluyan el territorio con el filtro de recursos /dir1/ siempre llevarán precedencia sobre las políticas que incluya el filtro de recursos /dir1. Esto puede causar un comportamiento inesperado para los administradores que crean políticas que incluyen la combinación de regla y territorio con el filtro de recursos /dir1.