Compartir vía


Notificaciones y reglas de notificaciones

Para comprender la gramática de las reglas de notificación, debe comprender las notificaciones de la directiva de atestación.

Notificación

Una notificación es un conjunto de propiedades agrupadas para proporcionar información pertinente. En el caso de Azure Attestation, contiene las propiedades siguientes:

  • type: un valor de cadena que representa el tipo de notificación.
  • value: un valor booleano, entero o de cadena que representa el valor de la notificación.
  • valueType: tipo de datos de la información almacenada en la propiedad value. Los tipos admitidos son String, Integer y Boolean. Cuando no se define, el valor predeterminado es "String".
  • issuer: información relacionada con el emisor de la notificación. El emisor es uno de los siguientes tipos.
    • AttestationService: Azure Attestation pone ciertas notificaciones a disposición del autor de la directiva. El autor de la directiva de atestación puede usarlas para elaborar la directiva adecuada.
    • AttestationPolicy: la directiva (tal como el administrador la define) puede agregar notificaciones a la evidencia entrante durante el procesamiento. En este caso, el emisor se establece en "AttestationPolicy".
    • CustomClaim: el atestador (cliente) también puede agregar más notificaciones a la evidencia de atestación. En este caso, el emisor se establece en "CustomClaim".

Cuando no se define, el valor predeterminado es "CustomClaim".

Regla de notificaciones

El motor de directivas utiliza el conjunto de notificaciones entrantes para calcular el resultado de la atestación. Una regla de notificación es un conjunto de condiciones que se usan para validar las notificaciones entrantes y realizar la acción definida.

Conditions list => Action (Claim)

La evaluación de Azure Attestation de una regla de notificaciones implica los siguientes pasos:

  • Si la lista de condiciones no está presente, se ejecuta la acción con la notificación especificada. De lo contrario, se evalúan las condiciones de la lista.
  • Si la lista de condiciones se evalúa como false, se detiene. De lo contrario, se continúa.

Las condiciones de una regla de notificaciones se usan para determinar si es necesario ejecutar la acción. La lista de condiciones es una secuencia de condiciones separadas por el operador "&&".

La lista de condiciones se estructura como:

Condition && Condition && ...

La condición se estructura como:

Identifier:[ClaimPropertyCondition, ClaimPropertyCondition,…]

La lista de condiciones se compone de condiciones individuales en varias propiedades de una notificación. Una condición puede tener un identificador opcional, que se puede usar para hacer referencia a las notificaciones que cumplan la condición. Esta referencia se puede usar en las demás condiciones o en la acción de la misma regla.

Por ejemplo

F1:[type=="OSName" , issuer=="CustomClaim"] && 
[type=="OSName" , issuer=="AttestationService", value== F1.value ] 
=> issueproperty(type="report_validity_in_minutes", value=1440);

F1:[type=="OSName" , issuer=="CustomClaim"] && 
C2:[type=="OSName" , issuer=="AttestationService", value== F1.value ] 
=> issue(claim = C2);

A continuación se muestran los operadores que se pueden usar para comprobar las condiciones:

Valuetype Operaciones admitidas
Entero == (es igual a), != (no es igual a), <= (es menor o igual que), < (es menor que), >= (es mayor o igual que), > (es mayor que)
String == (es igual a), != (no es igual a)
Boolean == (es igual a), != (no es igual a)

Evaluación de la lista de condiciones:

  • La presencia del operador "&&" implica que una lista de condiciones solo se evalúe como true si todas ellas se evalúan como true.
  • Una condición representa los criterios de filtro en el conjunto de notificaciones. Se dice que la propia condición se evalúa como true si se encuentra al menos una notificación que satisfaga la condición.
  • Se dice que una notificación satisface el criterio de filtrado representado por la condición si cada una de sus propiedades satisface las condiciones de propiedad de notificaciones correspondientes presentes en la condición.

Conjunto de acciones permitidas en una directiva:

Verbo de acción Descripción Secciones de la directiva a las que se aplican
permit() El conjunto de notificaciones entrantes se puede usar para calcular issuancerules. No toma ninguna notificación como parámetro. authorizationrules
deny() El conjunto de notificaciones entrantes no debe usarse para calcular issuancerules. No toma ninguna notificación como parámetro. authorizationrules
add(claim) Agrega la notificación al conjunto de notificaciones entrantes. Cualquier notificación agregada al conjunto de notificaciones entrantes está disponible para las reglas de notificación posteriores. authorizationrules, issuancerules
issue(claim) Agrega la notificación al conjunto de notificaciones entrantes y salientes. issuancerules
issueproperty(claim) Agrega la notificación al conjunto de notificaciones entrantes y de propiedad. issuancerules

Pasos siguientes