授权用户访问应用程序资源
可以控制经过身份验证的用户能够在应用程序中访问的资源。
为此,请单独或通过将策略与一组用户关联的方式将授权策略关联到每个用户。授权策略必须指定以下内容:
- 规则。必须授权访问的资源。这可以通过使用基本或高级表达式来指定。
- 操作。是否必须允许或拒绝对资源的访问。
默认情况下,DENIED(拒绝)所有用户在应用程序中访问所有资源。但是,您可以将此默认授权操作更改为 ALLOW(允许)所有用户访问(通过在会话配置文件中设置会话参数或设置全局会话参数)。
警告
为了获得最佳安全性,Citrix 建议您不要将默认授权操作从 DENY 更改为 ALLOW。相反,建议您为需要访问特定资源的用户创建特定的授权策略。
使用 CLI 配置授权
-
配置授权策略。
ns-cli-prompt> add authorization policy <name> <rule> <action>
-
将策略与相应的用户或组关联。
-
将策略绑定到特定用户。
ns-cli-prompt> bind aaa user <username> -policy <policyname>
-
将策略绑定到特定组。
ns-cli-prompt> bind aaa group <groupName> -policy <policyname>
-
使用 GUI 配置授权(“Configuration”(配置)选项卡)
-
创建授权策略。
导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Policies(策略)> Authorization(授权),单击 Add(添加),然后根据需要定义策略。
-
将策略与相应的用户或组关联。
导航到 Security(安全)> AAA - Application Traffic(AAA - 应用程序流量)> Users(用户) 或 Groups(组),然后编辑相关用户或组以将其与授权策略关联。
授权配置示例
下面是一些用于授权用户访问某些应用程序资源的示例配置。请注意,这些是 CLI 命令。可以使用 GUI 进行类似的配置,但不得将表达式用引号 (“) 引起。
-
``` add authorization policy authzpol1 “HTTP.REQ.URL.SUFFIX.EQ(“gif”)” ALLOW ```
-
bind aaa user user1 -policy authzpol1 -
``` add authorization policy authzpol2 “HTTP.REQ.URL.SUFFIX.EQ(“png”)” DENY ```
-
bind aaa group group1 -policy authzpol2