Finestra di dialogo Regola

casso127figsbrit
HID_rule
Sommario
La finestra di dialogo Regola consente di creare e modificare le regole della policy.
La finestra di dialogo include le seguenti sezioni:
  • Generale
    Identifica la regola.
    • Nome
      Specifica il nome della regola.
    • Descrizione
      (Facoltativo) Specifica una descrizione della regola.
  • Attributi: realm e risorsa
    Definisce il realm e le risorse.
    • Risorsa
      Specifica la risorsa protetta dalla regola e abilita o disabilita l'uso delle espressioni regolari nella regola.
    • Risorsa effettiva
      Mostra l'intera stringa della risorsa. La risorsa effettiva corrisponde al percorso intero della risorsa protetta dalla regola. La risorsa effettiva include i seguenti elementi:
      • Agente.
      • Tutti i filtri di risorsa concatenati di tutti i realm padre esistenti al di sopra del realm selezionato.
      • Il filtro risorse del realm specificato nel campo Realm.
      • La risorsa immessa nel campo Risorsa.
      Ad esempio, se si creano le voci seguenti:
      • Agente Realm1 = Agent1
      • Indirizzo IP Agent1 = 123.123.12.12
      • Realm1 con filtro Risorse = /dir
      • Risorsa Rule1 = /myfile.html
      Rule1 protegge 123.123.12.12/
      Agent1_web_server
      /dir/myfile.html.
    • Espressione regolare
      Indica che una risorsa può essere un file specifico o un'espressione che utilizza la corrispondenza della risorsa con espressioni regolari.
  • Attributi – Consenti/Nega e Abilita/Disabilita
    Permette di specificare:
    • Se il Policy Server deve consentire o negare l'accesso a una risorsa protetta, quando la regola è attivata.
    • Se la regola è abilitata.
    • Consenti accesso
      Consente l'accesso agli utenti autenticati correttamente e associati alla policy che contiene la regola per l'accesso alla risorsa.
    • Nega accesso
      Nega l'accesso agli utenti autenticati correttamente e specificati nella policy che contiene la regola.
    • Abilitato
      Abilita la regola.
  • Attributi: Azione
    Specifica l'azione dell'agente Web o l'evento che attiva la regola. Le opzioni disponibili nell'elenco di riepilogo Azione variano a seconda se si seleziona un'azione dell'agente Web o un evento di autenticazione/autorizzazione/impersonificazione.
  • Web Agent Actions (Azioni agente Web)
    Indica l'attivazione della regola per l'azione o le azioni HTTP selezionate dall'elenco Azione.
    Se
    CA SiteMinder® Web Services Security
    è installato, sono disponibili le seguenti azioni:
    • ProcessSOAP
      Supporta messaggi XML in entrata inseriti in una busta SOAP.
    • ProcessXML
      Supporta messaggi XML in entrata non elaborati, non inseriti in una busta SOAP.
  • Eventi di autenticazione
    Indica l'attivazione della regola per l'evento di autenticazione selezionato dall'elenco Azione:
    • OnAuthAccept
      Si verifica alla corretta autenticazione di un utente. È possibile utilizzare questo evento per reindirizzare un utente dopo un'autenticazione corretta.
    • OnAuthAcceptCredentials
      Questo evento si verifica solo durante la fase di accesso. Le credenziali utente vengono presentate per generare una nuova sessione.
    • OnAuthAttempt
      Questo evento si verifica in caso di errore di autenticazione dovuto al mancato inserimento del nome utente.
    • OnAuthChallenge
      Utilizzato negli schemi di autenticazione personalizzati per attivare una risposta.
    • OnAuthReject.
      Si verifica in caso di errore di autenticazione per un utente associato a una policy. L'utente deve essere associato alla policy per consentire l'attivazione della regola.
    • OnAuthUserNotFound
      Questo evento viene utilizzato solo per attivare le risposte attive. Non utilizzare questo evento per attivare risposte diverse da quelle attive.
  • Eventi di autorizzazione
    Indica l'attivazione della regola per l'evento di autorizzazione selezionato nell'elenco Azione:
    • OnAccessAccept
      Si verifica quando il Policy Server autorizza correttamente un utente per accedere alla risorsa.
    • OnAccessReject
      Si verifica quando il Policy Server rifiuta un utente perché non è autorizzato ad accedere alla risorsa.
  • Eventi di impersonificazione
    Specifica di attivare la regola per l'evento di impersonificazione selezionato dall'elenco Azione:
    • ImpersonationStart
      Questo evento consente di avviare una sessione di impersonificazione inclusa in una policy appropriata.
    • ImpersonationStartUser
      Questo evento consente l'impersonificazione di un insieme di utenti incluso in una policy appropriata.
  • Azione
    Elenca gli eventi corrispondenti per il tipo di evento selezionato.
  • Avanzate
    Specifica le restrizioni orarie e le configurazioni di regola attiva.
    • Restrizioni orarie
      Specifica l'intervallo di tempo durante il quale viene applicata una regola. Fare clic su Imposta per aprire la finestra di dialogo Restrizioni orarie.
    • Regola attiva
    Una regola attiva corrisponde a una funzione personalizzata creata con le API.
    Nome libreria
    Specifica il nome della libreria condivisa che supporta la regola attiva. Se lo si desidera, è possibile includere un percorso nel nome della libreria. Se non si specifica un percorso, il Policy Server utilizza il percorso predefinito del sistema per individuare la libreria condivisa in fase di runtime. Non includere un'estensione di file nel nome di libreria condivisa.
    Esempio
    : la libreria condivisa sulla piattaforma di Windows è denominata lib.dll e si trova nella directory \
    siteminder_home
    \bin\. Digitare
    lib
    nel campo Nome libreria per specificare la libreria.
    Nome funzione
    Specifica la funzione della libreria condivisa per l'implementazione della regola attiva.
    Parametri di funzione
    Elenca i parametri trasferiti alla funzione nella libreria condivisa.
    Regola attiva
    Visualizza lo script di regola attiva.
Impostazione del campo Risorsa nella finestra di dialogo Regola
Il campo Risorsa della finestra di dialogo Regola specifica la risorsa protetta dalla regola. Una risorsa può essere un file specifico o un'espressione che utilizza la corrispondenza tra risorse oppure espressioni regolari per l'inclusione di più file.
La risorsa specificata nel campo Risorsa viene aggiunta al filtro risorse del realm contenente la regola. Se il filtro di risorsa termina con una barra (/), la voce di Risorsa non deve iniziare con lo stesso carattere (/).
Esempio
  • Filtro risorsa: /dir1/
  • Risorsa: /file.html
La regola tenta erroneamente di proteggere /dir1//file.html.
  • Il campo Risorsa deve essere: file.html
La regola protegge quindi: /dir1/file.html.
Regole che non terminano con la barra
Se si specifica una regola che non termina con una barra (/) e si elimina la barra inserita, l'Interfaccia di amministrazione inserisce automaticamente un asterisco (*) nel campo Risorsa, ad indicare che la regola protegge qualsiasi risorsa e directory corrispondente compresa nel realm.
Esempio
  • Il filtro risorse è: /dir1
    L'utente elimina la barra (/) inserita automaticamente dall'interfaccia di amministrazione nella regola, quindi immette un asterisco (*) nel campo Risorsa.
  • Risorsa protetta:
    agent
    /dir1*.
    Questa risorsa protegge tutti gli elementi in /dir1, /dir11, /dir12, e così via.
    Se si utilizza la risorsa predefinita ( / nel campo Risorsa), la risorsa protetta è
    agent
    /dir1/*, che include qualsiasi file e directory contenuti nella directory dir1, ma non include
    agent
    /dir11 o
    agent
    /dir12.
Combinazione di filtri risorse con risorse
È possibile assegnare una combinazione di filtri risorsa leggermente diversi ai realm e alle risorse per le regole che formano lo stesso URL.
Esempio
  • Si crea un realm con un filtro risorse di /dir1 e si aggiunge una regola per la protezione di /index.html.
  • È quindi possibile creare un realm distinto con un filtro risorsa /dir1/ per la protezione di index.html. Entrambe queste combinazioni di regola e realm restituiscono l'URL
    agent
    /dir1/index.html.
Poiché /dir1/ è il realm corrispondente più lungo, ha la precedenza nell'elaborazione delle policy. Le policy che includono il realm con il filtro risorsa /dir1/ hanno sempre la precedenza sulle policy che includono il filtro risorsa /dir1. Ciò potrebbe generare un comportamento imprevisto dagli amministratori che creano policy contenenti la combinazione di regola e realm con il filtro risorse di /dir1.