Boîte de dialogue Règle
casso127figsbrfr
HID_rule
La boîte de dialogue Règle vous permet de créer et de modifier les règles de stratégie.
Cette boîte de dialogue contient les sections suivantes :
- GénéralIdentifie la règle.
- nomSpécifie le nom de la règle.
- Description(Facultatif) Description de la règle
- Attributs - Domaine d'authentification et ressourceDéfinit le domaine et les ressources.
- RessourceSpécifie la ressource que la règle protège et active ou désactive l'utilisation d'expression régulière dans la règle.
- Ressource activeAffiche la chaîne de ressource entière. La ressource active est le chemin d'accès complet à la ressource que la règle protège. La ressource active est composée :
- De l'agent
- De tous les filtres de ressources concaténés de tous les domaines parents qui existent au-dessus du domaine sélectionné.
- Du filtre de ressources du domaine spécifié dans le champ Domaine.
- De la ressource entrée dans le champ Ressource.
- Realm1 Agent = Agent1
- Agent1 IP Address = 123.123.12.12
- Realm1 with Resource Filter = /dir
- Rule1 Resource = /myfile.html
Agent1_web_server/dir/myfile.html. - Expression régulièreIndique qu'une ressource peut être un fichier ou une expression qui utilise la correspondance de ressource avec des expressions régulières.
- Attributs : Autoriser/Refuser et Autoriser/DésactiverVous permet de spécifier :
- Si le serveur de stratégies doit permettre ou refuser l'accès à une ressource protégée, lorsque la règle se déclenche.
- Si la règle est activée.
- Autoriser l'accèsPermet aux utilisateurs correctement authentifiés associés à la stratégie qui contient la règle d'accéder à la ressource.
- Refuser l'accèsRefuse l'accès aux utilisateurs correctement authentifiés spécifiés dans la stratégie qui contient la règle.
- ActivéActive la règle.
- Attributs : ActionSpécifie l'action ou l'événement de l'agent Web qui déclenche la règle. Les choix de la liste déroulante Action dépendent de si vous sélectionnez une action d'agent Web ou un événement d'authentification, d'autorisation ou d'emprunt d'identité.
- Web Agent Actions (Actions d'agent Web)Indique que la règle doit se déclencher pour la ou les actions HTTP que vous sélectionnez dans la liste Actions.SiCA SiteMinder® Web Services Securityest installé, les actions suivantes sont disponibles :
- ProcessSOAPPrend en charge la réception des messages XML encapsulés dans une enveloppe SOAP.
- ProcessXMLPrend en charge la réception des messages XML bruts (sans enveloppe SOAP).
- Evénements d'authentificationIndique que la règle doit se déclencher pour l'événement d'authentification que vous sélectionnez dans la liste Actions :
- OnAuthAcceptSe produit lorsqu'un utilisateur est authentifié. Vous pouvez utiliser cet événement pour rediriger un utilisateur après une authentification réussie.
- OnAuthAcceptCredentialsSe produit uniquement lors de l'étape de connexion. Les informations d'identification de l'utilisateur sont présentées et génèrent une nouvelle session.
- OnAuthAttemptSe produit lorsqu'un échec d'authentification de l'utilisateur survient, car aucun nom d'utilisateur n'est fourni.
- OnAuthChallengeUtilisé dans des schémas d'authentification personnalisés pour déclencher une réponse.
- OnAuthRejectSe produit lorsqu'un échec d'authentification de l'utilisateur associé à une stratégie survient. L'utilisateur doit être associé à la stratégie pour que la règle se déclenche.
- OnAuthUserNotFoundCet événement est uniquement utilisé pour déclencher des réponses actives. Ne l'utilisez pas pour déclencher une réponse non active.
- Evénements d'autorisationIndique que la règle doit se déclencher pour l'événement d'autorisation que vous sélectionnez dans la liste Actions :
- OnAccessAcceptSe produit lorsque le serveur de stratégies autorise un utilisateur à accéder à la ressource.
- OnAccessRejectSe produit lorsque le serveur de stratégies rejette un utilisateur, car ce dernier n'est pas autorisé à accéder à la ressource.
- Evénements d'emprunt d'identitéIndique que la règle doit se déclencher pour l'événement d'emprunt d'identité que vous sélectionnez dans la liste Actions :
- ImpersonationStartPermet à une session d'emprunt d'identité de commencer lorsqu'elle est incluse dans une stratégie appropriée.
- ImpersonationStartUserPermet l'emprunt d'identité d'un ensemble d'utilisateurs lorsque ce dernier est inclus dans une stratégie appropriée.
- ActionRépertorie les événements respectifs pour le type d'événement sélectionné.
- AvancéSpécifie les restrictions d'heure et les configurations de règle actives.
- Restrictions d'heureSpécifie l'intervalle d'application d'une règle. Cliquez sur Définir pour ouvrir la boîte de dialogue Restrictions liées à l'heure.
- Règle active
Une règle active est une fonction personnalisée créée à l'aide d'API.Nom de la bibliothèqueSpécifie le nom de la bibliothèque partagée qui prend en charge la règle active. Vous pouvez inclure un chemin d'accès au nom de la bibliothèque, mais ce n'est pas requis. Si vous ne spécifiez aucun chemin d'accès, le serveur de stratégies utilise le chemin d'accès par défaut pour que votre système recherche la bibliothèque partagée lors de l'exécution. N'incluez aucune extension de fichier dans le nom de la bibliothèque partagée.Exemple :La bibliothèque partagée sur la plate-forme Windows est lib.dll. Elle se trouve dans le répertoire \répertoire_base_siteminder\bin\. Pour spécifier la bibliothèque, saisissezlibdans le champ Nom de la bibliothèque.Nom de la fonctionSpécifie la fonction dans la bibliothèque partagée qui implémente la règle active.Paramètres de la fonctionRépertorie les paramètres qui sont transférés dans la bibliothèque partagée.Règle activeAffiche le script de règle active.
Définition du champ Ressource dans la boîte de dialogue Règle
Le champ Ressource de la boîte de dialogue Règle spécifie la ressource que la règle protège. Une ressource peut être un fichier ou une expression qui utilise la correspondance de ressource ou des expressions régulières pour inclure plusieurs fichiers.
La ressource que vous spécifiez dans le champ Ressource est ajoutée au filtre de ressources du domaine qui contient la règle. Si le filtre de ressources se termine par une barre oblique (/), l'entrée de ressource ne doit pas commencer par une barre oblique.
Exemple
- Le filtre de ressource est /dir1/.
- La ressource est /file.html
La règle tente de manière incorrecte de protéger /dir1//file.html.
- Le champ de ressource devrait être file.html
pour que la règle protège /dir1/file.html.
Règles qui ne se terminent pas par une barre oblique
Si vous spécifiez une règle qui ne se termine pas par une barre oblique (/) et que vous supprimez la barre oblique insérée, l'interface d'administration place automatiquement un astérisque dans le champ Ressource, afin que la règle protège toutes les ressources et tous les annuaires correspondants dans le domaine d'authentification.
Exemple
- Le filtre de ressource est /dir1.Vous supprimez la barre oblique (/) que l'interface d'administration insère automatiquement dans la règle, puis entrez un astérisque (*) dans le champ Ressource
- La ressource protégée estagent/dir1*.Cette ressource protège tous les éléments se trouvant dans /dir1, ainsi que /dir11, /dir12, etc.Si vous utilisez la ressource par défaut ( / dans le champ Ressource), la ressource protégée estagent/dir1/*, qui inclut tous les fichiers et les annuaires contenus dans l'annuaire dir1, mais non inclus dansagent/dir11 ouagent/dir12.
Combinaison de ressources et de filtres de ressources
Il est possible d'affecter une combinaison de filtres de ressources légèrement différents pour des domaines et des ressources, aux règles qui forment la même URL.
Exemple
- Vous créez un domaine avec un filtre de ressources /dir1 et ajoutez une règle qui protège /index.html.
- Vous créez ensuite un domaine distinct avec un filtre de ressources /dir1/ qui protège index.html. Ces deux combinaisons de règle de domaine renvoient l'URLagent/dir1/index.html.
Le plus long domaine correspondant étant /dir1/, il a priorité lors du traitement de la stratégie. Les stratégies qui incluent le domaine avec le filtre de ressources /dir1/ ont toujours priorité sur les stratégies qui incluent le filtre de ressources /dir1. Cela peut donner lieu à des comportements non prévus par les administrateurs qui créent les stratégies incluant la combinaison de règles de domaine avec le filtre de ressources /dir1.