授权用户访问应用程序资源

January 5, 2021

贡献者:

您可以控制经过身份验证的用户可以在应用程序中访问的资源。

若要执行此操作，请将授权策略单独关联或通过将策略与一组用户关联来将授权策略关联到每个用户。授权策略必须指定以下内容：

规则。必须授权访问的资源。这可以通过使用基本或高级表达式来指定。
操作。是否必须允许还是拒绝对资源的访问。

默认情况下，拒绝所有用户访问应用程序中的所有资源。但是，您可以将此默认授权操作更改为允许所有用户访问（通过在会话配置文件中设置会话参数或通过设置全局会话参数）。

警告

为了获得最佳安全性，Citrix 建议您不要将默认授权操作从“拒绝”更改为“允许”。相反，建议为需要访问特定资源的用户创建特定授权策略。

使用 CLI 配置授权

配置授权策略。

ns-cli-prompt> add authorization policy <name> <rule> <action>
将策略与相应的用户或组关联。
- 将策略绑定到特定用户。
  
  ns-cli-prompt> bind aaa user <username> -policy <policyname>
- 将策略绑定到特定组。
  
  ns-cli-prompt> bind aaa group <groupName> -policy <policyname>

使用 GUI（配置选项卡）配置授权

创建授权策略。

导航到安全”>“AAA-应用程序流量”>“策略”>“授权，单击添加，然后根据需要定义策略。
将策略与相应的用户或组关联。

导航到安全 > AAA - 应用程序流量 > 用户或组，然后编辑相关用户或组以将其与授权策略关联。

授权配置示例

下面是一些示例配置，用于授权用户访问某些应用程序资源。请注意，这些是 CLI 命令。您可以使用 GUI 进行类似的配置，但不能将表达式括在引号 (“) 中。

add authorization policy authzpol1 "HTTP.REQ.URL.SUFFIX.EQ(\"gif\")" ALLOW
bind aaa user user1 -policy authzpol1
add authorization policy authzpol2 "HTTP.REQ.URL.SUFFIX.EQ(\"png\")" DENY
bind aaa group group1 -policy authzpol2

本内容的正式版本为英文版。部分 Citrix 文档内容采用了机器翻译，仅供您参考。Citrix 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Citrix 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Citrix 不承担任何责任。

授权用户访问应用程序资源

January 5, 2021

贡献者:

January 5, 2021

贡献者: