Finestra di dialogo Regola
casso127figsbrit
HID_rule
La finestra di dialogo Regola consente di creare e modificare le regole della policy.
La finestra di dialogo include le seguenti sezioni:
- GeneraleIdentifica la regola.
- NomeSpecifica il nome della regola.
- Descrizione(Facoltativo) Specifica una descrizione della regola.
- Attributi: realm e risorsaDefinisce il realm e le risorse.
- RisorsaSpecifica la risorsa protetta dalla regola e abilita o disabilita l'uso delle espressioni regolari nella regola.
- Risorsa effettivaMostra l'intera stringa della risorsa. La risorsa effettiva corrisponde al percorso intero della risorsa protetta dalla regola. La risorsa effettiva include i seguenti elementi:
- Agente.
- Tutti i filtri di risorsa concatenati di tutti i realm padre esistenti al di sopra del realm selezionato.
- Il filtro risorse del realm specificato nel campo Realm.
- La risorsa immessa nel campo Risorsa.
- Agente Realm1 = Agent1
- Indirizzo IP Agent1 = 123.123.12.12
- Realm1 con filtro Risorse = /dir
- Risorsa Rule1 = /myfile.html
Agent1_web_server/dir/myfile.html. - Espressione regolareIndica che una risorsa può essere un file specifico o un'espressione che utilizza la corrispondenza della risorsa con espressioni regolari.
- Attributi – Consenti/Nega e Abilita/DisabilitaPermette di specificare:
- Se il Policy Server deve consentire o negare l'accesso a una risorsa protetta, quando la regola è attivata.
- Se la regola è abilitata.
- Consenti accessoConsente l'accesso agli utenti autenticati correttamente e associati alla policy che contiene la regola per l'accesso alla risorsa.
- Nega accessoNega l'accesso agli utenti autenticati correttamente e specificati nella policy che contiene la regola.
- AbilitatoAbilita la regola.
- Attributi: AzioneSpecifica l'azione dell'agente Web o l'evento che attiva la regola. Le opzioni disponibili nell'elenco di riepilogo Azione variano a seconda se si seleziona un'azione dell'agente Web o un evento di autenticazione/autorizzazione/impersonificazione.
- Web Agent Actions (Azioni agente Web)Indica l'attivazione della regola per l'azione o le azioni HTTP selezionate dall'elenco Azione.SeCA SiteMinder® Web Services Securityè installato, sono disponibili le seguenti azioni:
- ProcessSOAPSupporta messaggi XML in entrata inseriti in una busta SOAP.
- ProcessXMLSupporta messaggi XML in entrata non elaborati, non inseriti in una busta SOAP.
- Eventi di autenticazioneIndica l'attivazione della regola per l'evento di autenticazione selezionato dall'elenco Azione:
- OnAuthAcceptSi verifica alla corretta autenticazione di un utente. È possibile utilizzare questo evento per reindirizzare un utente dopo un'autenticazione corretta.
- OnAuthAcceptCredentialsQuesto evento si verifica solo durante la fase di accesso. Le credenziali utente vengono presentate per generare una nuova sessione.
- OnAuthAttemptQuesto evento si verifica in caso di errore di autenticazione dovuto al mancato inserimento del nome utente.
- OnAuthChallengeUtilizzato negli schemi di autenticazione personalizzati per attivare una risposta.
- OnAuthReject.Si verifica in caso di errore di autenticazione per un utente associato a una policy. L'utente deve essere associato alla policy per consentire l'attivazione della regola.
- OnAuthUserNotFoundQuesto evento viene utilizzato solo per attivare le risposte attive. Non utilizzare questo evento per attivare risposte diverse da quelle attive.
- Eventi di autorizzazioneIndica l'attivazione della regola per l'evento di autorizzazione selezionato nell'elenco Azione:
- OnAccessAcceptSi verifica quando il Policy Server autorizza correttamente un utente per accedere alla risorsa.
- OnAccessRejectSi verifica quando il Policy Server rifiuta un utente perché non è autorizzato ad accedere alla risorsa.
- Eventi di impersonificazioneSpecifica di attivare la regola per l'evento di impersonificazione selezionato dall'elenco Azione:
- ImpersonationStartQuesto evento consente di avviare una sessione di impersonificazione inclusa in una policy appropriata.
- ImpersonationStartUserQuesto evento consente l'impersonificazione di un insieme di utenti incluso in una policy appropriata.
- AzioneElenca gli eventi corrispondenti per il tipo di evento selezionato.
- AvanzateSpecifica le restrizioni orarie e le configurazioni di regola attiva.
- Restrizioni orarieSpecifica l'intervallo di tempo durante il quale viene applicata una regola. Fare clic su Imposta per aprire la finestra di dialogo Restrizioni orarie.
- Regola attiva
Una regola attiva corrisponde a una funzione personalizzata creata con le API.Nome libreriaSpecifica il nome della libreria condivisa che supporta la regola attiva. Se lo si desidera, è possibile includere un percorso nel nome della libreria. Se non si specifica un percorso, il Policy Server utilizza il percorso predefinito del sistema per individuare la libreria condivisa in fase di runtime. Non includere un'estensione di file nel nome di libreria condivisa.Esempio: la libreria condivisa sulla piattaforma di Windows è denominata lib.dll e si trova nella directory \siteminder_home\bin\. Digitarelibnel campo Nome libreria per specificare la libreria.Nome funzioneSpecifica la funzione della libreria condivisa per l'implementazione della regola attiva.Parametri di funzioneElenca i parametri trasferiti alla funzione nella libreria condivisa.Regola attivaVisualizza lo script di regola attiva.
Impostazione del campo Risorsa nella finestra di dialogo Regola
Il campo Risorsa della finestra di dialogo Regola specifica la risorsa protetta dalla regola. Una risorsa può essere un file specifico o un'espressione che utilizza la corrispondenza tra risorse oppure espressioni regolari per l'inclusione di più file.
La risorsa specificata nel campo Risorsa viene aggiunta al filtro risorse del realm contenente la regola. Se il filtro di risorsa termina con una barra (/), la voce di Risorsa non deve iniziare con lo stesso carattere (/).
Esempio
- Filtro risorsa: /dir1/
- Risorsa: /file.html
La regola tenta erroneamente di proteggere /dir1//file.html.
- Il campo Risorsa deve essere: file.html
La regola protegge quindi: /dir1/file.html.
Regole che non terminano con la barra
Se si specifica una regola che non termina con una barra (/) e si elimina la barra inserita, l'Interfaccia di amministrazione inserisce automaticamente un asterisco (*) nel campo Risorsa, ad indicare che la regola protegge qualsiasi risorsa e directory corrispondente compresa nel realm.
Esempio
- Il filtro risorse è: /dir1L'utente elimina la barra (/) inserita automaticamente dall'interfaccia di amministrazione nella regola, quindi immette un asterisco (*) nel campo Risorsa.
- Risorsa protetta:agent/dir1*.Questa risorsa protegge tutti gli elementi in /dir1, /dir11, /dir12, e così via.Se si utilizza la risorsa predefinita ( / nel campo Risorsa), la risorsa protetta èagent/dir1/*, che include qualsiasi file e directory contenuti nella directory dir1, ma non includeagent/dir11 oagent/dir12.
Combinazione di filtri risorse con risorse
È possibile assegnare una combinazione di filtri risorsa leggermente diversi ai realm e alle risorse per le regole che formano lo stesso URL.
Esempio
- Si crea un realm con un filtro risorse di /dir1 e si aggiunge una regola per la protezione di /index.html.
- È quindi possibile creare un realm distinto con un filtro risorsa /dir1/ per la protezione di index.html. Entrambe queste combinazioni di regola e realm restituiscono l'URLagent/dir1/index.html.
Poiché /dir1/ è il realm corrispondente più lungo, ha la precedenza nell'elaborazione delle policy. Le policy che includono il realm con il filtro risorsa /dir1/ hanno sempre la precedenza sulle policy che includono il filtro risorsa /dir1. Ciò potrebbe generare un comportamento imprevisto dagli amministratori che creano policy contenenti la combinazione di regola e realm con il filtro risorse di /dir1.