授权用户访问应用程序资源

November 17, 2022

投稿者:

可以控制经过身份验证的用户能够在应用程序中访问的资源。

为此，请单独或通过将策略与一组用户关联的方式将授权策略关联到每个用户。授权策略必须指定以下内容：

规则。必须授权访问的资源。这可以通过使用基本或高级表达式来指定。
操作。是否必须允许或拒绝对资源的访问。

默认情况下，DENIED（拒绝）所有用户在应用程序中访问所有资源。但是，您可以将此默认授权操作更改为 ALLOW（允许）所有用户访问（通过在会话配置文件中设置会话参数或设置全局会话参数）。

警告

为了获得最佳安全性，Citrix 建议您不要将默认授权操作从 DENY 更改为 ALLOW。相反，建议您为需要访问特定资源的用户创建特定的授权策略。

使用 CLI 配置授权

配置授权策略。

ns-cli-prompt> add authorization policy <name> <rule> <action>
将策略与相应的用户或组关联。
- 将策略绑定到特定用户。
  
  ns-cli-prompt> bind aaa user <username> -policy <policyname>
- 将策略绑定到特定组。
  
  ns-cli-prompt> bind aaa group <groupName> -policy <policyname>

使用 GUI 配置授权（“Configuration”（配置）选项卡）

创建授权策略。

导航到 Security（安全）> AAA - Application Traffic（AAA - 应用程序流量）> Policies（策略）> Authorization（授权），单击 Add（添加），然后根据需要定义策略。
将策略与相应的用户或组关联。

导航到 Security（安全）> AAA - Application Traffic（AAA - 应用程序流量）> Users（用户） 或 Groups（组），然后编辑相关用户或组以将其与授权策略关联。

授权配置示例

下面是一些用于授权用户访问某些应用程序资源的示例配置。请注意，这些是 CLI 命令。可以使用 GUI 进行类似的配置，但不得将表达式用引号 (“) 引起。

``` add authorization policy authzpol1 “HTTP.REQ.URL.SUFFIX.EQ(“gif”)” ALLOW ```
```
 bind aaa user user1 -policy authzpol1
```
``` add authorization policy authzpol2 “HTTP.REQ.URL.SUFFIX.EQ(“png”)” DENY ```


 bind aaa group group1 -policy authzpol2

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

授权用户访问应用程序资源

November 17, 2022

投稿者:

在本文中

这是否有帮助？