我们正在研究使用OpenAM来处理我们已创建的网络应用的安全性。我想知道/一种正确的方法来设置可以按值参数化的策略。具体来说,我们按县销售物品。每个用户购买几个县或所有县。我知道我们可以为美国的每个县创建一个角色/组/领域,并将用户分配到适当的角色/组/领域。但是当我们从未让用户购买超过五件时,需要管理很多事情。有没有办法我可以定义一个规则或政策来说“如果资源的县位于用户的县名单中,那就允许”#34;?
看起来这应该是可能的。但是我一直在浏览OpenAM文档,而且我看不到它说如何做这样的事情。
答案 0 :(得分:1)
这应该可以通过实现自定义策略条件来实现。在您的情况下,您可以检查访问的URL(策略评估模式需要是自己的),您还应该访问用户的会话ID,这应该允许您确定给定的用户是否具有必要的权限访问给定的资源。
这方面的文档有点稀疏,但总的来说应该有所帮助: http://openam.forgerock.org/openam-documentation/openam-doc-source/doc/dev-guide/index.html#chap-policy-spi