创建访问控制策略

在线编辑

使用设备本地管理界面上的 策略编辑器 来创建和配置访问控制策略。

准备工作

每个策略都是属性,义务或认证以及风险概要文件的组合。

在创建访问控制策略之前:

  1. 确保要在策略中使用的属性和义务已定义并在本地管理接口中可用:
  2. 确保要使用的风险概要文件设置为活动状态。 请参阅 管理风险概要文件

关于此任务

" 策略编辑器 " 页面有几个部分:
名称和描述
指定策略的唯一名称,并 (可选) 包含策略的描述。
主题
(可选) 指定要应用策略的一个或多个主体集。 主体可以是访问请求的主体部分中的任何内容。 例如,使用此字段来指定策略应用于作为 SystemAdministrators 组成员的主体集。 单击 添加主题 添加主题 以向策略添加主题。 单击 除去主题 以从策略中除去主题。 通过指定主体集,您可以确保仅当策略规则与至少一个指定主体集匹配时,才会对策略规则进行求值。
规则
"规则" 部分具有多个设置:
优先顺序
指定要对策略执行的访问操作。
拒绝
如果策略中的任何规则返回 deny ,那么策略返回 deny。
允许
如果策略中的任何规则返回许可,那么策略返回许可。
第一条
根据策略中可针对访问请求求值的第一个规则的结果,允许或拒绝访问。 策略中的规则将按其列出的顺序进行求值,并且无论哪个规则返回适用的决策,都将处理所有规则。 策略返回Not Applicable如果没有任何规则求值为 true。 要确保返回 "许可" 或 "拒绝" 决策,请在策略中包含不包含条件的 "许可" 或 "拒绝" 规则。
属性
对策略求值时,运行时将尝试检索策略中指定的所有属性的值。 在入局请求中找不到的属性被视为缺失。 属性 设置控制如何处理缺少的属性。
可选
如果 属性 设置为 可选,那么策略的 "规则" 部分中指定的所有属性都被视为可选属性。 使用此设置时,会将缺少的属性视为空集,并根据表达式进行求值。 在大多数情况下,缺少属性将导致规则表达式返回 false。
必需
如果 属性 设置为 必需,那么会将策略的 "规则" 部分中指定的所有属性视为必需属性。 使用此设置时,缺少的属性将被视为错误,并且将在评估规则时返回不确定的决策。 不确定的结果通常会导致访问请求被拒绝。
添加规则
单击 添加规则 下拉箭头,然后选择以下任一项:
  • 条件规则: 此类型的规则包含一个或多个条件和操作。 规则是应用于决策请求的上下文对象中传递的一组上下文属性的布尔表达式。 每个规则都有一个 If 语句和一个 Then 语句。 If 语句指定接收访问请求时检查的条件。 Then 语句指定当规则条件为 true 时要执行的操作。
  • 无条件规则: 此类型的规则仅包含操作,不包含任何条件。
规则操作如下所示:
允许
必须允许请求通过。
允许责任
必须在允许请求通过之前执行特定操作。 在相邻字段中指定操作。
允许认证
必须在允许请求通过之前执行特定认证操作。 在相邻字段中指定认证策略。 有关认证策略的更多信息,请参阅 认证策略
拒绝
必须拒绝该请求,并且不允许该请求通过。
拒绝责任
请求被拒绝,将处理义务。

过程

  1. 登录到本地管理界面。
  2. 单击 AAC
  3. 在 " 策略" 下,单击 访问控制
  4. 在中心面板中,单击 添加策略
  5. 名称 字段中,输入策略的唯一名称。
    注: 名称必须以字母字符开头。 请勿在名称中的任何位置使用控制字符、前导空格和尾随空格以及以下特殊字符:~ ! @ # $ % ^ & * ( ) + | ` = \ ; : " ' < > ? , [ ] { } /。
  6. 可选: 描述 字段中,输入策略的描述。
  7. 可选: 指定策略适用的主体集。
    1. 单击 添加主题
    2. 在第一个框中,选择主题属性。
      开始输入主题的名称以过滤列表。
    3. 在第二个框中,选择运算符。
    4. 在第三个框中,输入值。
    例如,如果您希望仅在访问请求者属于 SecurityAdministrator 组时才对规则进行求值,请指定以下选择:
    参数
    groups
    运算符
    =
    SecurityAdministrator
    注: 如果 LDAP 根 DN 为 secauthority=default,那么只能在使用 X.500 名称 userDNgroupsDN的策略中使用 = (等于) 运算符。
    要指定更多主题,请单击 添加主题
  8. 在 "规则" 部分中,添加一个或多个规则。
    1. 对于 优先顺序,选择要对策略执行的访问操作:
    2. 对于 属性,选择策略的属性使用情况。
    3. 要向策略添加规则,请单击 添加规则 下拉箭头,然后选择下列其中一项:
      • 条件规则: 此类型的规则包含一个或多个条件和操作。
      • 无条件规则: 此类型的规则不包含任何条件。
    4. 如果创建无条件规则,请继续执行步骤 8.h
    5. 如果要创建条件规则,请选择在 所有 条件均为真或 任何 条件均为真时应用规则。
    6. 通过输入或选择参数,运算符和值来创建规则。
      要在值字段中指定值,请单击右侧的下拉菜单,然后选择 输入值选择属性
    7. 执行以下操作之一:
      • 单击 ! 以向表达式添加 NOT 运算符。 如果表达式已具有 NOT 运算符,请单击 ! 除去操作程序。
      • 单击 + 以添加其他表达式。 新表达式将添加到前面的表达式下。
      • 单击 - 以除去表达式。
      • 单击 () 以创建括号表达式。 选择表达式的相应属性,运算符和值。 或者,向组添加更多表达式。 新表达式将添加到前面的表达式下。
    8. 指定完成规则评估时要执行的操作。
    9. 规则完成时单击 确定
    10. 要向策略添加其他规则,请重复步骤 8.c
    11. 如果策略具有多个规则,那么可以通过选择规则并单击 上移下移来更改规则的顺序。
      注: 如果选择 第一个 作为策略的操作,那么规则序列很重要。
  9. 在策略完成时单击 保存

后续操作

将策略附加到资源。 请参阅管理访问控制策略附件