12 Novell Access Manager 3.0 SP1 Administration Guide
novdocx (en) 11 December 2007
28 Creating Role Policies 335
28.1 Understanding RBAC in Access Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
28.1.1 Assigning all Authenticated Users to a Role . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
28.1.2 Using a Role to Create an Authentication Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
28.1.3 Using Prioritized Rules in an Authorization Policy . . . . . . . . . . . . . . . . . . . . . . . . . . 338
28.2 Creating Roles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338
28.2.1 Selecting Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
28.2.2 Selecting an Action . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
28.2.3 Reviewing the Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342
28.2.4 Example Role Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
28.3 Creating Access Manager Roles from an Existing Role-Based Policy System . . . . . . . . . . . 347
28.3.1 Creating a Role Using an LDAP Attribute . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
28.3.2 Creating a Role Using the Location of the User Objects . . . . . . . . . . . . . . . . . . . . . 349
28.3.3 Creating a Role Using Role or Group Membership . . . . . . . . . . . . . . . . . . . . . . . . . 352
28.4 Mapping Roles between Trusted Providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
28.5 Enabling and Disabling Role Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
28.6 Importing and Exporting Role Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
29 Creating Authorization Policies 357
29.1 Designing an Authorization Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357
29.1.1 Controlling Access with a Deny Rule and a Negative Condition . . . . . . . . . . . . . . . 358
29.1.2 Configuring the Result on Condition Error Option . . . . . . . . . . . . . . . . . . . . . . . . . . 358
29.1.3 Many Rules or Many Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
29.1.4 Controlling Access with Multiple Conditions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359
29.1.5 Using Permit Rules with a Deny Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360
29.1.6 Using Deny Rules with a General Permit Rule . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362
29.1.7 Public Policies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363
29.1.8 General Design Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
29.1.9 Assigning Policies to Resources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
29.2 Creating Access Gateway Authorization Policies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
29.2.1 The Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
29.2.2 Sample Policy Based on Organizational Rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366
29.2.3 Sample Workflow Policy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
29.3 Creating Web Authorization Policies for J2EE Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
29.4 Creating Enterprise JavaBean Authorization Policies for J2EE Agents . . . . . . . . . . . . . . . . . 375
29.5 Conditions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
29.5.1 Authentication Contract Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
29.5.2 Client IP Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
29.5.3 Credential Profile Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
29.5.4 Current Date Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
29.5.5 Current Day of Week Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383
29.5.6 Current Day of Month Condition. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
29.5.7 Current Time of Day Condition. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385
29.5.8 HTTP Request Method Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386
29.5.9 LDAP Attribute Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
29.5.10 Liberty User Profile Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387
29.5.11 Roles for Current User Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388
29.5.12 URL Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
29.5.13 URL Scheme Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
29.5.14 URL Host Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
29.5.15 URL Path Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393
29.5.16 URL File Name Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395
29.5.17 URL File Extension Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
29.5.18 X-Forward-For IP Condition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
29.6 Using Multiple Conditions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398