授权用户访问应用程序资源

您可以控制经过身份验证的用户可以在应用程序中访问的资源。

若要执行此操作,请将授权策略单独关联或通过将策略与一组用户关联来将授权策略关联到每个用户。授权策略必须指定以下内容:

  • 规则。必须授权访问的资源。这可以通过使用基本或高级表达式来指定。
  • 操作。是否必须允许还是拒绝对资源的访问。

默认情况下,拒绝所有用户访问应用程序中的所有资源。但是,您可以将此默认授权操作更改为允许所有用户访问(通过在会话配置文件中设置会话参数或通过设置全局会话参数)。

警告

为了获得最佳安全性,Citrix 建议您不要将默认授权操作从“拒绝”更改为“允许”。相反,建议为需要访问特定资源的用户创建特定授权策略。

使用 CLI 配置授权

  1. 配置授权策略。

    ns-cli-prompt> add authorization policy <name> <rule> <action>

  2. 将策略与相应的用户或组关联。

    • 将策略绑定到特定用户。

      ns-cli-prompt> bind aaa user <username> -policy <policyname>

    • 将策略绑定到特定组。

      ns-cli-prompt> bind aaa group <groupName> -policy <policyname>

使用 GUI(配置选项卡)配置授权

  1. 创建授权策略。

    导航到“安全”>“AAA-应用程序流量”>“策略”>“授权”,单击“添加”,然后根据需要定义策略。

  2. 将策略与相应的用户或组关联。

    导航到安全 > AAA - 应用程序流量 > 用户,然后编辑相关用户或组以将其与授权策略关联。

授权配置示例

下面是一些示例配置,用于授权用户访问某些应用程序资源。请注意,这些是 CLI 命令。您可以使用 GUI 进行类似的配置,但不能将表达式括在引号 (“) 中。

  • add authorization policy authzpol1 "HTTP.REQ.URL.SUFFIX.EQ(\"gif\")" ALLOW

  • bind aaa user user1 -policy authzpol1

  • add authorization policy authzpol2 "HTTP.REQ.URL.SUFFIX.EQ(\"png\")" DENY
  • bind aaa group group1 -policy authzpol2