受保护对象策略管理
访问控制表 (ACL) 策略为授权服务提供信息,以便对访问受保护对象的请求作出 yes 或 no 应答,并对该对象执行一些操作。 受保护对象策略 (POP) 包含有关请求的其他条件。 这些条件将与授权服务中的 yes ACL 策略决策一起传递回资源管理器。
Security Verify Access 和资源管理器负责实施 POP 条件。
表 1 列出了 Security Verify Access提供的 POP 的可用属性。
| POP 属性 | 描述 |
|---|---|
| 名称 | 指定策略的名称。 此属性与 pop 命令文档中的 pop-name 变量相关。 |
| 描述 | 指定策略的描述性文本。 此属性出现在 pop show 命令中。 |
| 警告方式 | 为管理员提供测试 ACL , POP 和授权规则的方法。 警告方式提供了在使安全策略处于活动状态之前对其进行测试的方法。 |
| 审计级别 | 指定审计类型: 全部,无,成功访问,拒绝访问或错误。 审计级别通知授权服务在允许访问对象时需要额外的服务。 |
| 访问时间 | 这是成功访问受保护对象的日期和时间限制。 每天的时间限制了对对象的访问。 |
| IP 端点授权方法策略 | 指定从外部网络成员访问的授权需求。 IP 端点认证方法策略对对象的访问施加限制。 |
| EAS 触发器属性 | 指定外部授权服务 (EAS) 插件,该插件启动以使用客户的外部化策略逻辑做出授权决策。 |
| 保护质量 | 指定数据保护的程度: 无,完整性或隐私。 保护质量告知授权服务在允许访问对象时需要额外的服务。 |
虽然 Security Verify Access 提供了这些 POP 属性,但它仅实施以下属性:
- 名称
- 描述
- 警告方式
- 审计级别
- 访问时间
每个资源管理器或插件都可以选择性地强制实施以下一个或多个属性:
- IP 端点授权方法策略
- EAS 触发器属性
- 保护质量
对于 Security Verify Access IP 地址支持:
- 您可以根据身份所使用的 IP 地址授予对受保护资源的访问权。 例如,仅允许来自 IP 地址
9.18.n.n的用户访问受保护资源。 - 您可以定义需要额外的认证级别才能根据身份所使用的 IP 地址访问此受保护资源。 配置递升式认证的级别 和 IBM Security Verify Access for Web中描述了递升式级别认证: WebSEAL Administration Guide。