Boîte de dialogue Règle

casso127figsbrfr
HID_rule
Sommaire
La boîte de dialogue Règle vous permet de créer et de modifier les règles de stratégie.
Cette boîte de dialogue contient les sections suivantes :
  • Général
    Identifie la règle.
    • nom
      Spécifie le nom de la règle.
    • Description
      (Facultatif) Description de la règle
  • Attributs - Domaine d'authentification et ressource
    Définit le domaine et les ressources.
    • Ressource
      Spécifie la ressource que la règle protège et active ou désactive l'utilisation d'expression régulière dans la règle.
    • Ressource active
      Affiche la chaîne de ressource entière. La ressource active est le chemin d'accès complet à la ressource que la règle protège. La ressource active est composée :
      • De l'agent
      • De tous les filtres de ressources concaténés de tous les domaines parents qui existent au-dessus du domaine sélectionné.
      • Du filtre de ressources du domaine spécifié dans le champ Domaine.
      • De la ressource entrée dans le champ Ressource.
      Par exemple, si vous créez les entrées suivantes :
      • Realm1 Agent = Agent1
      • Agent1 IP Address = 123.123.12.12
      • Realm1 with Resource Filter = /dir
      • Rule1 Resource = /myfile.html
      Rule1 protège 123.123.12.12/
      Agent1_web_server
      /dir/myfile.html.
    • Expression régulière
      Indique qu'une ressource peut être un fichier ou une expression qui utilise la correspondance de ressource avec des expressions régulières.
  • Attributs : Autoriser/Refuser et Autoriser/Désactiver
    Vous permet de spécifier :
    • Si le serveur de stratégies doit permettre ou refuser l'accès à une ressource protégée, lorsque la règle se déclenche.
    • Si la règle est activée.
    • Autoriser l'accès
      Permet aux utilisateurs correctement authentifiés associés à la stratégie qui contient la règle d'accéder à la ressource.
    • Refuser l'accès
      Refuse l'accès aux utilisateurs correctement authentifiés spécifiés dans la stratégie qui contient la règle.
    • Activé
      Active la règle.
  • Attributs : Action
    Spécifie l'action ou l'événement de l'agent Web qui déclenche la règle. Les choix de la liste déroulante Action dépendent de si vous sélectionnez une action d'agent Web ou un événement d'authentification, d'autorisation ou d'emprunt d'identité.
  • Web Agent Actions (Actions d'agent Web)
    Indique que la règle doit se déclencher pour la ou les actions HTTP que vous sélectionnez dans la liste Actions.
    Si
    CA SiteMinder® Web Services Security
    est installé, les actions suivantes sont disponibles :
    • ProcessSOAP
      Prend en charge la réception des messages XML encapsulés dans une enveloppe SOAP.
    • ProcessXML
      Prend en charge la réception des messages XML bruts (sans enveloppe SOAP).
  • Evénements d'authentification
    Indique que la règle doit se déclencher pour l'événement d'authentification que vous sélectionnez dans la liste Actions :
    • OnAuthAccept
      Se produit lorsqu'un utilisateur est authentifié. Vous pouvez utiliser cet événement pour rediriger un utilisateur après une authentification réussie.
    • OnAuthAcceptCredentials
      Se produit uniquement lors de l'étape de connexion. Les informations d'identification de l'utilisateur sont présentées et génèrent une nouvelle session.
    • OnAuthAttempt
      Se produit lorsqu'un échec d'authentification de l'utilisateur survient, car aucun nom d'utilisateur n'est fourni.
    • OnAuthChallenge
      Utilisé dans des schémas d'authentification personnalisés pour déclencher une réponse.
    • OnAuthReject
      Se produit lorsqu'un échec d'authentification de l'utilisateur associé à une stratégie survient. L'utilisateur doit être associé à la stratégie pour que la règle se déclenche.
    • OnAuthUserNotFound
      Cet événement est uniquement utilisé pour déclencher des réponses actives. Ne l'utilisez pas pour déclencher une réponse non active.
  • Evénements d'autorisation
    Indique que la règle doit se déclencher pour l'événement d'autorisation que vous sélectionnez dans la liste Actions :
    • OnAccessAccept
      Se produit lorsque le serveur de stratégies autorise un utilisateur à accéder à la ressource.
    • OnAccessReject
      Se produit lorsque le serveur de stratégies rejette un utilisateur, car ce dernier n'est pas autorisé à accéder à la ressource.
  • Evénements d'emprunt d'identité
    Indique que la règle doit se déclencher pour l'événement d'emprunt d'identité que vous sélectionnez dans la liste Actions :
    • ImpersonationStart
      Permet à une session d'emprunt d'identité de commencer lorsqu'elle est incluse dans une stratégie appropriée.
    • ImpersonationStartUser
      Permet l'emprunt d'identité d'un ensemble d'utilisateurs lorsque ce dernier est inclus dans une stratégie appropriée.
  • Action
    Répertorie les événements respectifs pour le type d'événement sélectionné.
  • Avancé
    Spécifie les restrictions d'heure et les configurations de règle actives.
    • Restrictions d'heure
      Spécifie l'intervalle d'application d'une règle. Cliquez sur Définir pour ouvrir la boîte de dialogue Restrictions liées à l'heure.
    • Règle active
    Une règle active est une fonction personnalisée créée à l'aide d'API.
    Nom de la bibliothèque
    Spécifie le nom de la bibliothèque partagée qui prend en charge la règle active. Vous pouvez inclure un chemin d'accès au nom de la bibliothèque, mais ce n'est pas requis. Si vous ne spécifiez aucun chemin d'accès, le serveur de stratégies utilise le chemin d'accès par défaut pour que votre système recherche la bibliothèque partagée lors de l'exécution. N'incluez aucune extension de fichier dans le nom de la bibliothèque partagée.
    Exemple :
    La bibliothèque partagée sur la plate-forme Windows est lib.dll. Elle se trouve dans le répertoire \
    répertoire_base_siteminder
    \bin\. Pour spécifier la bibliothèque, saisissez
    lib
    dans le champ Nom de la bibliothèque.
    Nom de la fonction
    Spécifie la fonction dans la bibliothèque partagée qui implémente la règle active.
    Paramètres de la fonction
    Répertorie les paramètres qui sont transférés dans la bibliothèque partagée.
    Règle active
    Affiche le script de règle active.
Définition du champ Ressource dans la boîte de dialogue Règle
Le champ Ressource de la boîte de dialogue Règle spécifie la ressource que la règle protège. Une ressource peut être un fichier ou une expression qui utilise la correspondance de ressource ou des expressions régulières pour inclure plusieurs fichiers.
La ressource que vous spécifiez dans le champ Ressource est ajoutée au filtre de ressources du domaine qui contient la règle. Si le filtre de ressources se termine par une barre oblique (/), l'entrée de ressource ne doit pas commencer par une barre oblique.
Exemple
  • Le filtre de ressource est /dir1/.
  • La ressource est /file.html
La règle tente de manière incorrecte de protéger /dir1//file.html.
  • Le champ de ressource devrait être file.html
pour que la règle protège /dir1/file.html.
Règles qui ne se terminent pas par une barre oblique
Si vous spécifiez une règle qui ne se termine pas par une barre oblique (/) et que vous supprimez la barre oblique insérée, l'interface d'administration place automatiquement un astérisque dans le champ Ressource, afin que la règle protège toutes les ressources et tous les annuaires correspondants dans le domaine d'authentification.
Exemple
  • Le filtre de ressource est /dir1.
    Vous supprimez la barre oblique (/) que l'interface d'administration insère automatiquement dans la règle, puis entrez un astérisque (*) dans le champ Ressource
  • La ressource protégée est
    agent
    /dir1*.
    Cette ressource protège tous les éléments se trouvant dans /dir1, ainsi que /dir11, /dir12, etc.
    Si vous utilisez la ressource par défaut ( / dans le champ Ressource), la ressource protégée est
    agent
    /dir1/*, qui inclut tous les fichiers et les annuaires contenus dans l'annuaire dir1, mais non inclus dans
    agent
    /dir11 ou
    agent
    /dir12.
Combinaison de ressources et de filtres de ressources
Il est possible d'affecter une combinaison de filtres de ressources légèrement différents pour des domaines et des ressources, aux règles qui forment la même URL.
Exemple
  • Vous créez un domaine avec un filtre de ressources /dir1 et ajoutez une règle qui protège /index.html.
  • Vous créez ensuite un domaine distinct avec un filtre de ressources /dir1/ qui protège index.html. Ces deux combinaisons de règle de domaine renvoient l'URL
    agent
    /dir1/index.html.
Le plus long domaine correspondant étant /dir1/, il a priorité lors du traitement de la stratégie. Les stratégies qui incluent le domaine avec le filtre de ressources /dir1/ ont toujours priorité sur les stratégies qui incluent le filtre de ressources /dir1. Cela peut donner lieu à des comportements non prévus par les administrateurs qui créent les stratégies incluant la combinaison de règles de domaine avec le filtre de ressources /dir1.