创建访问策略

必备

以下权限:

  • 授权>政策>所有权限
  • 授权>政策>添加
  • 授权>政策>删除
  • 授权>政策>看法

以下组织设置:

您可以使用创建策略选项或使用可用的 Genesys Cloud 设计的预建策略模板,对其进行编辑,然后将其保存为策略。

从预建模板创建访问策略

要从现有策略模板创建访问策略,请执行以下操作: 

  1. 单击 管理员
  2. 在“人员和权限”下,点击使用权政策
  3. 点击模板
  4. 选择一个现有模板。目前,Genesys Cloud 提供以下访问策略模板供您入门:
  5. 根据您的要求单击策略模板。出现模板详细信息。
  6. 编辑策略名称和描述。
  7. 如果您要为策略指定不同的目标,请修改域、实体和操作字段。
  8. (可选)通过切换启用策略选项。您还可以稍后通过编辑策略来启用该策略。有关详细信息,请参阅启用访问策略。 
  9. 如有必要,修改策略 JSON 中的主题、效果和条件部分,以满足您的组织需求。
    注意:
  10. 要验证 JSON 语法,请单击验证语法在验证语法选项卡中。解决任何语法错误,然后继续保存策略。如果您没有明确验证语法,Genesys Cloud 会在您保存策略时自动验证语法。语法验证步骤验证以下内容: 
    • 必填字段是否可用。
    • 列出的属性对于指定的目标有效。
    • 所有属性比较对其各自的数据类型均有效。
    • 任何预设的属性名称都不会与系统中定义的属性名称冲突。
  11. 点击另存为政策。 
  12. 要验证该策略是否按预期工作,请点击测试策略选项卡并提供示例数据并单击测试策略
  13. 要返回政策页面,请点击取消

预建模板示例

目前,Genesys Cloud 包含以下访问策略模板:

此策略模板旨在防止非管理员用户授予他们自己不拥有的角色。

您可以修改策略 JSON 中的模板参数:域、实体和操作字段指定目标或 API 调用组。

ABAC 策略编辑器描述“无法授予新角色”模板

此模板有以下两个条件:

条件 1

"subject.role.names": {
"contains_one": "admin.role.names"
}

此条件检查主体是否具有管理员角色。如果主体具有管理员角色,则结果为允许。

条件 2

"subject.role.names": {
"contains_one": "authorization.grant.role.name"
}

如果主体没有管理员角色,则仅当主体已经具有他们尝试授予的角色时才允许该操作。authorization.grant.role.name是一个属性,它包含主体试图授予自己或其他用户的角色的名称。因此,例如,如果主体具有主管角色但没有管理员角色,则当他们尝试授予管理员角色时,结果为拒绝。在这种情况下,管理员角色不包含在主题角色名称列表中。

在此模板中,admin.role.names可以是包含 admin 和 masterAdmin 角色的列表。如果您的组织中有其他自定义管理员角色,您可以将其添加到此列表中,并用逗号分隔。

此策略模板旨在防止定义的用户配置文件字段被修改,除非主管或管理员。 

笔记:此模板包含用户配置文件页。您不能通过访问策略限制用户更新“用户配置文件”页面中未包含的字段,例如,WebRTC 设置不是“用户配置文件”页面的一部分。

ABAC 策略编辑器描述“无法更新某些用户配置文件字段”模板

该模板包含一个 Any 规则,这意味着只要满足任何指定的条件,策略就会返回 Allow 的结果。模板默认有以下两个条件。 

条件 1

"profile.fields": {
"contains_none_ignore_case": "restricted.fields.value"

此条件检查正在修改的用户配置文件字段是否未包含在restricted.fields.value预设属性列表并在比较时忽略大小写。如果修改的字段不在列表中,则此条件的结果为 True。您可以根据环境的需要,将预设属性列表编辑为单独的字段、部分名称或两者的组合。有关受支持的预设属性的更多信息,请参阅限制字段值列表。 

条件 2

"subject.role.names": {
"contains_one": "manager.role.names"

此条件检查主体是否具有预设属性列表中包含的角色manager.role.names。如果主体具有其中任何一个角色,则允许该操作。

将模板保存为策略后,您可以测试该策略以确认其按预期工作。在下面的示例图中,主体具有管理员角色,因此请求被允许,即使配置文件字段(agent.name ) 包含在限制字段列表中。

显示“无法更新某些用户字段”模板的示例数据

使用创建策略功能创建访问策略

要从头创建访问策略,请执行以下操作:

  1. 单击 管理员
  2. 在“人员和权限”下,点击使用权政策
  3. 点击创建策略
  4. 输入策略名称和描述。
  5. 根据您的策略要求指定域、实体和操作字段。您可以参考预建模板创建您自己的政策。 
  6. (可选)通过切换启用策略选项。您可以稍后通过编辑策略来启用该策略。有关详细信息,请参阅启用访问策略。 
  7. 根据您的组织需求定义策略 JSON 中的主题、效果和条件部分。
    注意:
  8. 要验证 JSON 语法,请单击验证语法在验证语法选项卡中。解决任何语法错误,然后继续保存策略。如果您没有明确验证语法,Genesys Cloud 会在您保存策略时自动验证语法。语法验证步骤验证以下内容:
    • 必填字段是否可用。
    • 列出的属性对于指定的目标有效。
    • 所有属性比较对其各自的数据类型均有效。
    • 任何预设的属性名称都不会与系统中定义的属性名称冲突。
  9. 单击 “ 保存”。 
  10. 要验证该策略是否按预期工作,请点击测试策略选项卡并提供示例数据并单击测试策略
  11. 要返回政策页面,请点击取消