5.7. 基于组的策略

您可以使用这类策略为您的权限定义一组或多个组（及其层次结构）访问对象的条件。

要创建基于组的新策略，请在策略列表右上角的项列表中选择 Group。

组策略 Add Group Policy

Name
描述该策略的人类可读和唯一字符串。最佳实践是使用与您的业务和安全要求密切相关的名称，以便您可以更轻松地识别它们。
描述
包含此策略详情的字符串。
组声明
指定令牌中的声明名称（包含组名称和/或路径）。通常，授权请求基于之前发给给某些用户的客户端的 ID 令牌或访问令牌进行处理。如果定义，令牌必须包含从哪里获取此政策的声明，以便用户所属的组。如果未定义，则从您的域配置获取用户的组。
组
允许您选择在评估权限时此策略应强制实施的组。添加组后，您可以通过标记复选框 扩展至 childrenren 来扩展组子的访问权限。如果保留未标记，则访问限制仅适用于所选组。
逻辑
在评估其他条件后应用此策略的逻辑。

默认情况下，当您将组添加到此策略时，访问限制将仅应用到所选组的成员。

在某些情况下，可能不需要允许访问组本身，而是允许访问层次结构中的任何子组。对于添加的任何组，您可以标记一个复选框 可扩展到 子进程，从而扩展对子组的访问权限。

扩展对子组的访问

Extending access to child groups

在上面的示例中，策略是为 IT 或其任何成员的任何用户授予访问权限。

返回顶部