如果您的组织已部署 Embedded Entitlements Manager,则可以使用访问策略来控制哪些安全组具有访问业务服务及其关联数据的权限。
安全组是为 Embedded Entitlements Manager APM 应用程序创建的用户组。 在 Embedded Entitlements Manager 中,安全组称为应用程序组。
管理员配置哪些安全组可以自动访问所有新创建的业务服务。
默认情况下,已设置四个访问策略:
CEM 系统管理员组具有所有业务服务的所有权限。
CEM 配置管理员组具有所有业务服务的读取和写入权限。
CEM 突发事件分析人员组具有读取所有业务服务的敏感数据的权限。
CEM 分析人员组和 CEM 突发事件分析人员组具有所有业务服务的读取权限。
如果使用的是标准安全组(CEM 系统管理员、CEM 配置管理员、CEM 突发事件分析人员以及 CEM 分析人员),那么这些访问策略可能已足够。 但是,如果已经创建其他安全组,并且希望这些组的成员能够访问所有业务服务,则需要创建或修改访问策略以包括这些组。
注意:该主题的过程描述如何为所有业务服务修改或创建访问策略。 如果需要为特定业务服务修改或创建访问策略,请参阅《CA APM 事务定义指南》中有关访问策略的主题。
查看或编辑所有业务服务的现有访问策略:
如果自安装 CA CEM 以来未添加过访问策略,将看到在上表中列出的访问策略。
此时将显示“更新访问策略”页面。
将在下面的列表中对字段进行描述。
确保为“业务服务”选择“全部”。 这意味着所选的安全组与所有后续创建的业务服务关联,并且适用于所有现有的业务服务。
为所有业务服务创建新访问策略:
将在下面的列表中对字段进行描述。
注意:确保为“业务服务”选择“全部”并为“安全组”选择“选择”。 这意味着所选的安全组与所有业务服务(现有的和将来的)关联。
此处描述“新访问策略”页面中的字段。
为该策略提供一个有意义的名称。
添加描述性备注。
选择创建策略以明确同意或拒绝对业务服务的操作。
如果在同意和拒绝之间有冲突,将优先选择拒绝策略。
如果要让策略生效,则启用该策略。
如果现在不想使用策略,但是将来可能要使用该策略,则禁用该策略。 删除不再使用的策略。
选择此选项将允许安全组成员在“业务服务”选项卡中查看、编辑和删除业务服务及其所有子对象(业务事务、事务、组件等)。
用户至少要对一个业务服务具有访问权限,才能看到“业务服务”选项卡。
选择此选项将允许安全组成员在“CEM”选项卡中查看与该业务服务关联的图表和报告。
注意:确保 Embedded Entitlements Manager 是配置的唯一领域。 如果配置了本地领域(除 Embedded Entitlements Manager 领域之外),那么所有用户均可以访问排定报告中的所有数据。 有关领域的信息,请参阅《CA APM 安全指南》。
选择此选项将允许安全组成员查看与缺陷有关的主机、URL 路径、TCP 端口、Cookie 以及 HTTP 头。 这些内容显示在“CEM”>“突发事件管理”>“缺陷详细信息”页面中。
如果选中“捕获全面缺陷详细信息”复选框(在“设置”>“域”页面中),那么“缺陷详细信息”页面中还会显示缺陷的 Query 和 Post 参数以及请求和响应的正文信息。 有关详细信息,请参阅《CA APM 安全指南》中有关 CA CEM 的章节。
将此选项与读取复选框一起使用。 访问缺陷详细信息页面需要执行读取操作。
全选。 这会将访问策略应用于所有业务服务和所有新业务服务(在创建新服务时应用)。
注意:要修改特定业务服务的访问策略,请参阅《CA APM 事务定义指南》以获取详细信息。 例如,如果需要通过下面方式拒绝分析人员对某个特定业务服务进行访问:为 CEM 分析人员和 CEM 突发事件分析人员安全组设置对该业务服务的明确拒绝。
选择“选择”并将策略的安全组移动至“已选择”列。
此处显示的安全组对应于 Embedded Entitlements Manager 中特定于 APM 应用程序的用户组。 无法在 CA CEM 中选择 Embedded Entitlements Manager 全局用户组。
使用 Embedded Entitlements Manager 查看或修改安全组。 有关使用 Embedded Entitlements Manager 的信息,请参阅《CA APM 安全指南》。 无法从 CEM 控制台中管理安全组。
|
版权所有 © 2013 CA。
保留所有权利。
|
|