文档帮助中心文档
请注意
独立服务器支持基于策略的访问金宝appMATLAB®Web应用程序服务器™产品,而不是包含在内的开发版本MATLAB编译器™.有关详细信息,请参见MATLAB Web应用服务器的差异.
要使用基于策略的访问,您需要:
在服务器上启用SSL。有关更多信息,请参见启用SSL.
在服务器上启用认证。有关更多信息,请参见身份验证.
通过在服务器上启用策略访问,可以创建基于属性的规则,允许通过认证的主体访问服务器上的web应用。
启用策略访问功能。
检查是否启用SSL。有关更多信息,请参见启用SSL.
检查是否启用了身份验证,并验证userAttributeName和groupAttributeName的值已指定webapps_authn.json文件。有关详细信息,请参见身份验证.
userAttributeName
groupAttributeName
webapps_authn.json
文件中是否存在文件夹应用程序服务器的根文件夹。虽然启用基于策略的访问并不需要文件夹,但拥有文件夹可以让你组织web应用,并将它们指定为可访问的资源。有关详细信息,请参见创建文件夹来组织Web应用.
应用程序
创建一个名为webapps_acc_ctl.json然后把它放在webapps_private文件夹中。
webapps_acc_ctl.json
webapps_private
的webapps_private文件夹可于以下网址找到:
窗户®
% ProgramData % \ MathWorks \ webapps \R2021b\ config \ webapps_private
Linux®
/地方/ MathWorks / webapps /R2021b/ config / webapps_private
macOS
/图书馆/应用程序/ MathWorks 金宝app/ webapps /支持R2021b/ config / webapps_private
的JSON模式webapps_acc_ctl.json是:
{“版本”:“< >。<小>。> <补丁”、“政策”:[{" id ": " < policy_id >”,“描述”:“< policy_description >”,“规则”:[{" id ": " < rule_id >”,“描述”:“< rule_description >”,“主题”:{" < attribute_name_of_auth_subject >”:[" < attribute_value_of_auth_subject >”)},“资源”:{" < >应用程序或文件夹":[" < app_name或folder_name >”)},“行动”:[" < action_type >" ] }, { " id”:“< rule_id >”、“描述”:“< rule_description >”、“主题”:{" < attribute_name_of_auth_subject >”:[" < attribute_value_of_auth_subject >”)},“资源”:{" < >应用程序或文件夹":[" < app_name或folder_name >”)},“行动”(“< action_type: >" ] } ] } ] }
版本:指定JSON模式的版本。的默认值R2021b是1.0.0.
1.0.0
政策:策略块包含基于策略访问所需的策略列表。在策略文件中只能指定单个策略。
id:指定策略ID。策略ID必须为一组字母数字字符。删除任何前导或尾随空格。例如:
“id”:“policy420”
描述:指定策略的描述信息。例如:
"description": "公司访问web应用程序的政策。"
规则:规则块包含规则对象列表。一个规则块中可以存在多个规则。每个规则和都需要一个ID< rule_id >对于每个规则必须是唯一的。
< rule_id >
id:为每条规则指定唯一的规则ID。规则ID必须是一组字母数字字符。删除任何前导或尾随空格。例如:
“id”:“rule101”
描述:指定每条规则的描述信息。例如:
"description": "只有赫拉克勒斯团队可以运行血压应用程序。"
主题:指定可以访问资源的经过身份验证的主题的属性名-值对。
例如:
"subject": {"memberOf": ["CN=Middle,OU= Middle,OU= groups,DC=school,DC=com"]}
"subject": {"groups": ["Sales"]}
"subject": {"uid": ["fbueller", "cfrye"]}
如果你正在使用Azure®活动目录和需要检索组id,请参阅使用Azure活动目录.
资源:指定可访问资源的类型和名称。只有类型为应用程序或文件夹都受支持金宝app。如果您没有指定资源,那么经过身份验证的主体将无法访问应用程序或文件夹,即使它存在于服务器上。有关如何创建文件夹的信息,请参见创建文件夹来组织Web应用.
文件夹
例如,在根级指定对应用程序的访问:
"resource": {"app":["血压"]}
例如,指定对特定文件夹中的应用程序的访问:
"resource": {"app": ["MagicFolder/CardTricks"]}
例如,指定对特定文件夹中的所有应用程序的访问:
"resource": {"folder": ["MagicFolder"]}
例如,要指定对根目录下所有应用程序的访问权限:
"resource": {"folder": ["/"]}
行动:指定认证主体可以执行的操作类型。如果资源类型为应用程序,所支持的操作为金宝app执行,它允许主题运行web应用程序。如果资源类型为文件夹,所支持的操作是金宝app执行和修改.的执行Action,在这种情况下,让主题运行指定文件夹中的所有web应用程序。的修改动作允许主题上传或删除一个web应用程序到或从一个文件夹,如果主题被分配的角色作者在webapps_app_roles.json基于角色的访问文件。被分配角色的对象用户在webapps_app_roles.json基于角色的访问文件不能上传或删除一个web应用程序或从一个文件夹,即使他们被分配修改行动。例如:
执行
修改
webapps_app_roles.json
“行动”:(“执行”,“修改”)
有关详细信息,请参见基于角色的访问.
{“版本”:“1.0.0”、“政策”:[{" id ":“policy1001”、“描述”:“网络应用访问控制策略”、“规则”:[{" id ":“rule101”、“描述”:“销售组血压应用可以运行。”、“主题”:{“memberOf”:[“cn =销售,ou =销售,ou =组,dc = myboston, dc = com”]},“资源”:{“应用”:[“血压”]},“行动”:["执行"]},{" id ":"rule102", "description": "Specified subjects can run the CardTricks app in the MagicDir .", "subject": {"uid": ["erooney"]}, "resource": {"app": ["MagicDir/CardTricks"]}, "action": ["execute"]}, {"id": "rule103", "description":“指定科目可以运行MagicDir文件夹中的所有应用程序和修改(上传或删除)应用MagicDir文件夹。”,“主题”:{“uid”:[" fbueller "]},“资源”:{“文件夹”:[" MagicDir "]},“行动”:[“执行”,“修改”]},{" id ":“rule104”,“描述”:“指定科目可以运行所有程序在休息日文件夹中。”、“主题”:{“uid”:["cfrye", "psloane"]}, "resource": {"folder": ["DayOff"]}, "action": ["execute"]}, {"id": "rule105", "description": "指定的主题可以运行app根目录下的所有app,也可以在app根目录下修改(上传或删除)app。","subject": {"uid": ["jbueller"]}, "resource": {"folder": ["/"]}, "action":["execute", "modify"]}]}]}
谨慎
的JSON模式语法webapps_acc_ctl.json严格执行。模式语法中的错误可能会导致服务器无法启动,或者在尝试登录时被拒绝访问服务器。
如果使用基于策略的访问,则必须在appConfig块的webapps_authn.json认证文件,并设置适当的值:
appConfig
如果未能包含和设置这些属性的值,将导致服务器无法启动。有关详细信息,请参见身份验证.
如果您使用基于策略的访问,并设置值userAttributeName和groupAttributeName在webapps_authn.json属性,然后为主题财产的webapps_acc_ctl.json基于策略的访问文件必须与您在身份验证文件中设置的值匹配。
主题
“userAttributeName”:“<值>”、“groupAttributeName”:“<值>"
<值>
“主题”:{"<属性>”:“…”]}“主题”:{"<属性>”:“…”]}
<属性>
例如,如果在webapps_authn.json验证文件:
“userAttributeName”:“uid”、“groupAttributeName”:“memberOf"
然后,webapps_acc_ctl.json策略访问文件必须使用相同的值:
“主题”:{"uid”:“…”]}
“主题”:{"memberOf”:“…”]}
JSON文件中的属性不匹配导致服务器无法启动。有关详细信息,请参见基于策略的访问.
您可以使用基于策略的访问和独立于基于角色的访问的身份验证。然而,这种类型的访问导致认证的主体只能执行web应用程序,而不能修改它们。
如果同时使用基于策略的访问和基于角色的访问,则设置值为userAttributeName和/或groupAttributeName在webapps_authn.json属性,然后为主题财产的webapps_acc_ctl.json的基于策略的访问文件和指定的属性组和用户属性必须与您在身份验证文件中设置的值匹配。
组
用户
“用户”:{"<属性>”:“…”]}"组": { "<属性>”:“…”]}
然后,webapps_app_roles.json基于角色的访问文件必须使用相同的属性:
"appRoles": [{"id": "User", "description": "用户角色信息","groups": {"memberOf”:“…”]}, "users": { "uid”:“…”]}}, { "id": "Author", "description": "Author role info", "groups": { "memberOf”:“…”]}, "users": { "uid”:“…”}}]
和,webapps_acc_ctl.json策略访问文件必须使用相同的值:
值的不匹配导致服务器无法启动。有关详细信息,请参见基于角色的访问.
当您使用基于策略的访问和基于角色的访问进行身份验证时,必须为经过身份验证的主题分配角色作者在webapps_app_roles.json基于角色的访问文件修改作为一个行动webapps_acc_ctl.json基于策略的访问文件,以便主题能够修改web应用程序。
选择一个网站,在那里获得翻译的内容,并看到当地的活动和优惠。根据您的位置,我们建议您选择:.
你也可以从以下列表中选择一个网站:
选择中国网站(中文或英文)以获得最佳网站性能。其他MathWorks国家站点没有针对您所在位置的访问进行优化。
与当地办事处联系
得到审判现在