第 6 章 管理权限
权限关联正在保护的对象以及必须评估的策略,以决定是否授予访问权限。
在创建您要保护的资源以及您要用来保护这些资源的策略后,您可以开始管理权限。要管理权限,请在编辑资源服务器时单击 Permissions 选项卡。
权限
可以创建权限来保护两种主要对象:
- Resources
- 范围
要创建权限,请从权限列表右上角的 item 列表中选择您要创建的权限类型。以下小节更详细地描述了这两类对象。
6.1. 创建基于资源的权限
基于资源的权限定义了一组一个或多个资源,以使用一组一个或多个授权策略来保护。
要创建基于资源的新权限,请从 Create permissions 下拉菜单中选择 Create resource-based permissions。
添加资源权限
6.1.1. Configuration
Name
描述权限的人类可读和唯一字符串。最佳实践是使用与您的业务和安全要求密切相关的名称,以便您可以更轻松地识别它们。
描述
包含此权限详情的字符串。
Apply To Resource Type
指定权限是否应用到给定类型的所有资源。选择此字段时,会提示您输入要保护的资源类型。
资源类型
定义要保护的资源类型。定义后,针对与该类型匹配的所有资源评估此权限。
Resources
定义要保护的一个或多个资源的集合。
policy
定义一组与权限关联的一个或多个策略。要关联策略,您可以通过选择您要创建的策略类型来选择现有策略或创建新策略。
决策策略
6.1.2. 类型的资源权限
资源权限也可用于定义要应用到给定类型的所有资源的策略。当您有共享通用访问要求和约束的资源时,这种基于资源的权限形式很有用。
通常,应用中的资源可以根据它们封装的数据或提供的功能进行分类(或键入)。例如,一个金融应用程序可以管理不同的银行客户,各家都属于特定客户。虽然它们是不同的银行帐户,它们共享了银行组织范围定义的共同安全要求和限制。使用 typed 资源权限,您可以定义适用于所有银行帐户的通用策略,例如:
- 只有所有者可以管理其帐户
- 只允许从所有者的国家和/或区域进行访问
- 强制特定的验证方法
要创建类型的资源权限,请在创建新的基于资源的权限时点 Apply to Resource Type。将 Apply to Resource Type
设置为 On
时,您可以指定您要保护的类型以及要应用到的策略,以使用您指定的类型管理对所有资源的访问。
类型的资源权限示例