Traitement des règles et politiques par les moteurs

Moteur global

Evaluation des règles

Lorsqu'une requête est reçue par votre Olfeo On premises, un "contexte" est alors défini en prenant en compte les différents paramètres utilisés par le moteur : source (utilisateur identifié ou IP), type de requête, destination, heure courante, etc.

Chaque onglet du moteur de règles est alors appelé successivement (Connexion > Accès > Aperçu > Contenu) et pour chaque onglet du moteur, les règles sont évaluées successivement de "haut en bas" : dès qu'une règle est satisfaite par le contexte de la requête, elle applique alors les actions définies.

Si le contexte de la requête n'a satisfait aucune règle, c'est alors l'action par défaut qui s'applique.

Soyez donc vigilant dans l'ordonnancement de vos règles !

Cas particulier de sortie du moteur global d'accès : l'action "Appliquer la politique" et sortir

En dehors du cas de la règle terminale, un seul cas peut déclencher la sortie du moteur de règles d'accès, il s'agir de l'action "Appliquer la politique".Ainsi, pour une règle donnée dans le moteur d'Accès, si l'action définie est "Appliquer la politique [nom de la politique] et sortir", le moteur évalue alors directement les règles de la politique (voir ci-dessous) mais dans ce cas-là, aucune gestion d'héritage n'est possible - seules les politiques terminales sont utilisables.

Cette action est utile dans le cas où vous souhaiteriez qu'une politique s'applique arbitrairement dans un contexte donné, indépendamment de celles que vous auriez définies sur votre annuaire dans le moteur de politiques utilisateur. Et ce, tout en conservant vos mécanismes d'authentification et d'identification.

Un cas d'usage par exemple pourrait être l'application de politiques de filtrage "scolaires" que vous souhaiteriez voir appliquer à tout utilisateur naviguant (authentifié ou non) depuis le sous-réseau d'une école, indépendamment de ses propres prérogatives de navigation.

Avertissement : Dans ce cas, aucun héritage ne s'applique. Soyez très vigilant dans la construction de la politique appliquée pour qu'elle soit suffisamment couvrante.

Comment appliquer une politique utilisateur à une règle d'accès ?

Dans le moteur de règles d'accès, sur la règle de votre choix, cliquer sur l'icone d'action ( par défaut si vous crééez une nouvelle règle)
Sélectionnez "Appliquer la politique utilisateur" et sélectionner la politique de filtrage à appliquer (NB : seules les politiques terminales sont proposées) et validez.
L'icone d'action de la règle est modifiée. Vous pouvez visualisre la politique sélectionnée au survol.
Confirmez votre configuration du moteur de règles en cliquant sur Valider

Moteur de politiques utilisateur

Evaluation des politiques de filtrage d'URL

Les politiques de filtrage d'URL peuvent être appliquées à une requête dans deux cas de figure :

si l'action définie pour une règle dans l'onglet Accès est "Appliquer la politique" (voir ci-dessus)
ou si dans l'onglet Accès du moteur de règles général, le champ Pour le reste a pour valeur Appliquer la politique utilisateur et qu'aucune règle de connexion ou d'accès n'a bloqué le flux.

Dans ce dernier cas, le moteur analyse la pyramide organisationnelle de votre annuaire de "bas en haut" : il vérifie d'abord si une politique est définie au niveau de l'utilisateur. Si aucune politique n'est définie sur l'utilisateur, le moteur vérifie si une politique est définie sur le groupe, et ainsi de suite jusquà la Configurtion par défaut tant qu'aucune évaluation n'est satisfaite.

Le moteur pourra potentiellement examiner tous les niveaux de l'arborescence, dans le sens Utilisateur > Groupe > UO/passerelle de l'UO (pour les politiques de filtrage d'URLs) > Configuration par défaut.

Lorsque le moteur a trouvé une politique à appliquer, il évalue les règles à l'intérieur de celle-ci (voir ci-dessous).

Remarque : Attention à la cohérence des règles du moteur global et celles des politiques utilisateur : vous ne pouvez pas bloquer un flux dans une politique si une règle du moteur global l'a déjà explicitement autorisé (action Autoriser).

Evaluation des règles dans une politique utilisateur

À l'intérieur d'une politique, le moteur parcourt les règles de haut en bas, de la même façon que dans le moteur de règles global. Si le flux ne correspond à aucune des règles, le moteur effectue l'action définie dans le champ "Pour le reste" :

Autoriser : les ressources commencent à être téléchargées : le moteur applique les règles définies dans l'onglet Aperçu.
Bloquer : une page de blocage (/messages.html) est envoyée à l'utilisateur.
Politique supérieure : le moteur évalue la politique appliquée à l'élément parent. Si de nouveau le flux ne correspond à aucune des règles et que le champ Pour le reste de cette politique contient Politique supérieure, le moteur passe à la politique de l'élément parent jusqu'à la "Configuration par défaut".