身份验证、授权和审核应用程序流量

配置高级身份验证策略

如果您确切知道您希望如何配置身份验证策略,则可以使用高级身份验证策略对话框快速创建策略。

使用配置实用程序配置高级身份验证策略

  1. 导航到 安全性 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略,然后选择策略。
  2. 在详细信息窗格中执行以下操作之一:

    • 要创建新策略,请单击添加
    • 要修改现有策略,请选择策略,然后单击编辑
  3. 创建身份验证策略配置身份验证策略对话框中,键入或选择参数的值。

    • 名称 -策略名称。无法针对以前配置的策略更改。
    • 操作类型 -策略类型:证书、协商、LDAP、RADIUS、SAML、SAML、SAMLIDP、TACACS 或 WEBAUTH。
    • 操作 -与策略关联的身份验证操作(配置文件)。您可以选择现有身份验证操作,或单击加号并创建适当类型的新操作。
    • 日志操作 -与策略关联的审计操作。您可以选择现有审核操作,或单击加号并创建新操作。
    • 表达式 -选择要应用指定操作的连接的规则。该规则可以是简单的(“true”选择所有流量)或复杂的。输入表达式的方法是:首先在“表达式”窗口下方最左侧的下拉列表中选择表达式的类型,然后直接在表达式文本区域中键入表达式,或者单击“添加”打开“添加表达式”对话框,然后使用其中的下拉列表构造表达式。)
    • 注释 -您可以键入描述此身份验证策略将应用到的流量类型的注释。可选。
  4. 单击创建确定,然后单击关闭。如果您创建了策略,则该策略将显示在“身份验证策略和服务器”页面中。

配置表达式以检查用户关联的组

Citrix ADC 设备现在提供了一个选项供用户检查以下可能性:

  • 检查当前用户是否属于任何上述组。
  • 检查当前用户是否是所有组的成员。

引入以下两个新表达式来检查用户关联的组:

  • is_member_of_any - 您可以使用此表达式检查当前用户是否属于关联的补丁集中提到的任何组。

使用 CLI 配置 Is_member_of_any 表达式的步骤

在命令提示窗口中,键入:

-  add policy patset groups_patset
-  bind patset groups_patset mygroup1
-  bind patset groups_patset mygroup2
-  add expression any_group_check   "aaa.user.is_member_of_any(\"groups_patset\")"

注意

如果用户属于 mygroup1 或 mygroup2,则上述表达式返回 true。

  • IS_member_of_all -您可以使用此表达式来检查用户是否是由该补丁集引用的所有组的成员。

使用 CLI 配置所有成员表达式的步骤

在命令提示窗口中,键入:

-  add policy patset groups_patset
-  bind patset groups_patset mygroup1
-  bind patset groups_patset mygroup2
-  add expression any_group_check "aaa.user.is_member_of_all(\"groups_patset\")"

注意

如果用户同时属于 mygroup1 和 mygroup2,则上述表达式返回 true。

配置高级身份验证策略