5.7. 基于组的策略
您可以使用这类策略为您的权限定义一组或多个组(及其层次结构)访问对象的条件。
要创建基于组的新策略,请在策略列表右上角的项列表中选择 Group。
组策略
5.7.1. Configuration 复制链接链接已复制到粘贴板!
Name
描述该策略的人类可读和唯一字符串。最佳实践是使用与您的业务和安全要求密切相关的名称,以便您可以更轻松地识别它们。
描述
包含此策略详情的字符串。
组声明
指定令牌中的声明名称(包含组名称和/或路径)。通常,授权请求基于之前发给给某些用户的客户端的 ID 令牌或访问令牌进行处理。如果定义,令牌必须包含从哪里获取此政策的声明,以便用户所属的组。如果未定义,则从您的域配置获取用户的组。
组
允许您选择在评估权限时此策略应强制实施的组。添加组后,您可以通过标记复选框 扩展至 childrenren 来扩展组子的访问权限。如果保留未标记,则访问限制仅适用于所选组。
逻辑
在评估其他条件后应用此策略的逻辑。
5.7.2. 扩展对子组的访问 复制链接链接已复制到粘贴板!
默认情况下,当您将组添加到此策略时,访问限制将仅应用到所选组的成员。
在某些情况下,可能不需要允许访问组本身,而是允许访问层次结构中的任何子组。对于添加的任何组,您可以标记一个复选框 可扩展到 子进程,从而扩展对子组的访问权限。
扩展对子组的访问
在上面的示例中,策略是为 IT 或其任何成员的任何用户授予访问权限。