红帽全球峰会5.2. 基于角色的访问控制
您可以使用这类策略为您的权限定义条件,其中允许一组或多个角色访问对象。
默认情况下,不会根据需要指定添加到此策略中的角色,如果被授予了任何这些角色的用户请求访问权限,策略将授予访问权限。但是,如果想要强制执行特定角色,则需要 指定特定的角色。您还可以组合所需的和非必需角色,无论它们是 realm 还是客户端角色。
当您需要更受限的基于角色的访问控制(RBAC)时,角色策略很有用,其中必须强制特定的角色才能授予对象访问权限。例如,您可以强制用户同意允许客户端应用程序(代表用户)访问用户的资源。您可以使用 Red Hat Single Sign-On Client Scope 映射来启用同意页面,甚至强制客户端在从 Red Hat Single Sign-On 服务器获取访问令牌时显式提供范围。
若要创建新的基于角色的策略,可在策略列表右上角的下拉列表中选择 Role。
添加基于角色的访问控制
5.2.1. 配置
名称
描述该策略的人类可读和唯一字符串。最佳实践是使用与您的业务和安全要求密切相关的名称,以便您可以更轻松地识别它们。
描述
包含此策略详情的字符串。
realm Roles
指定 此策略允许哪些域 角色。
客户端角色
指定 此策略允许哪些客户端 角色。要启用此字段,必须首先选择一个
Client。逻辑
在评估其他条件后应用此策略的 Logic。
