{ "enableDisable": "禁用的客户端无法启动登录或获得访问令牌。", "clientType": "'OpenID Connect' 允许客户端根据授权服务器执行的身份验证来验证最终用户的身份。'SAML' 启用基于 Web 的身份验证和授权方案,包括跨域单点登录( SSO) 并使用包含断言的安全令牌来传递信息。", "serviceAccount": "允许您向 Keycloak 验证此客户端并检索专用于此客户端的访问令牌。根据 OAuth2 规范,这可以支持此客户端的'客户端凭据授权'。", "manageServiceAccountUser": "要管理详细信息和群组映射,请单击用户名 <1>{{link}}", "authentication": "这定义了 OIDC 客户端的类型。当它打开时,OIDC 类型设置为机密访问类型。当它关闭时,它设置为公共访问类型", "authorization": "为客户端启用/禁用细粒度授权支持", "authDetails": "导出并下载此资源服务器的所有资源设置。", "directAccess": "这启用了对直接访问授权的支持,这意味着客户端可以访问用户的用户名/密码,并直接与 Keycloak 服务器交换它以获得访问令牌。就 OAuth2 规范而言,这启用了对“资源所有者密码”的支持授予此客户的凭证。", "standardFlow": "这启用了基于标准 OpenID Connect 重定向的身份验证和授权代码。根据 OpenID Connect 或 OAuth2 规范,这启用了对此客户端的'授权代码流'的支持。", "implicitFlow": "这启用了对基于 OpenID Connect 重定向的身份验证的支持,无需授权代码。根据 OpenID Connect 或 OAuth2 规范,这启用了对此客户端的'隐式流'支持。", "oauthDeviceAuthorizationGrant": "这启用了对 OAuth 2.0 设备授权授予的支持,这意味着客户端是输入功能有限或缺少合适浏览器的设备上的应用程序。", "oidcCibaGrant": "这启用了对 OIDC CIBA Grant 的支持,这意味着用户通过一些外部身份验证设备而不是用户的浏览器进行身份验证。", "rootURL": "添加到相对 URL 的根 URL", "validRedirectURIs": "成功登录后浏览器可以重定向到的有效 URI 模式。允许使用简单的通配符,例如 'http://example.com/*'。也可以指定相对路径,例如 /my/relative/path /*。相对路径是相对于客户端根 URL 的。如果没有指定,则使用身份验证服务器根URL。对于SAML协议,如果您依赖于登录请求中嵌入的消费者服务URL,则必须设置有效的URI模式。 ", "validPostLogoutRedirectURIs": "浏览器在成功注销后可以重定向到的有效 URI 模式。'+' 值或空字段将使用有效重定向 URI 列表。'-' 值将不允许任何注销后重定向uris。允许使用简单的通配符,例如“http://example.com/*”。也可以指定相对路径,例如/my/relative/path/*。相对路径是相对于客户端根 URL 的,或者如果没有指定使用身份验证服务器根 URL。", "nameIdFormat": "用于主题的名称 ID 格式。", "alwaysDisplayInUI": "始终在帐户 UI 中列出此客户端,即使用户没有活动会话。", "forceNameIdFormat": "忽略请求的 NameID 主题格式并使用管理 UI 配置的格式。", "forcePostBinding": "始终使用 POST 绑定进行响应。", "forceArtifactBinding": "是否应通过 SAML ARTIFACT 绑定系统将响应消息返回给客户端?", "includeAuthnStatement": "是否应在登录响应中包含指定方法和时间戳的语句?", "includeOneTimeUseCondition": "一次性使用的条件是否应该包含在登录响应中?", "optimizeLookup": "当在 REDIRECT 绑定中为由 Keycloak 适配器保护的 SP 签署 SAML 文档时,签名密钥的 ID 是否应该包含在 元素中的 SAML 协议消息中?这优化了作为验证方的签名验证使用单个密钥而不是尝试每个已知密钥进行验证。", "signDocuments": "SAML 文档应该由领域签名吗?", "signAssertions": "SAML 文档中的断言应该被签名吗?如果文档已经被签名,则不需要此设置。", "signatureAlgorithm": "用于签署文档的签名算法。请注意,基于 'SHA1' 的算法已被弃用,将来可能会被删除。建议坚持使用一些更安全的算法而不是 '*_SHA1'", "signatureKeyName": "签名的 SAML 文档在 KeyName 元素中包含签名密钥的标识。对于 Keycloak / RH-SSO 对应方,使用 KEY_ID。而对于 MS AD FS,则使用 CERT_SUBJECT。对于其他人,如果没有其他有效的选项,请查看并使用 NONE。", "canonicalization": "XML 签名的规范化方法。", "webOrigins": "允许的 CORS 来源。要允许有效重定向 URI 的所有来源,请添加 '+'。不过这不包括 '*' 通配符。要允许所有来源,请明确添加 '*'。", "homeURL": "当 auth 服务器需要重定向或链接回客户端时使用的默认 URL。", "adminURL": "客户端管理界面的 URL。如果客户端支持适配器 REST API,则设置此项。此 REST API 允许 auth 服务器推送撤销策略和其他管理任务。通常将其设置为基本URL客户端。", "client": "选择发出此授权请求的客户端。如果未提供,将根据您所在的客户端完成授权请求。", "clientId": "指定 URI 和令牌中引用的 ID。例如 'my-client'。对于 SAML,这也是来自 authn 请求的预期颁发者值", "selectUser": "选择一个用户,其身份将用于从服务器查询权限。", "roles": "选择要与所选用户关联的角色。", "contextualAttributes": "运行环境或执行上下文提供的任何属性。", "resourceType": "指定此权限必须应用于给定类型的所有资源实例。", "applyToResourceType": "指定此权限是否应应用于给定类型的所有资源。在这种情况下,将为给定资源类型的所有实例评估此权限。", "resources": "指定此权限必须应用于特定资源实例。", "scopesSelect": "指定此权限必须应用于一个或多个范围。", "clientName": "指定客户端的显示名称。例如'我的客户'。也支持本地化值的键。例如:${my_client}", "description": "指定客户端的描述。例如'My Client for TimeSheets'。也支持本地化值的键。例如:${my_client_description}", "loginTheme": "为登录、OTP、授予、注册和忘记密码页面选择主题。", "encryptAssertions": "SAML 断言是否应该使用 AES 使用客户端的公钥加密?", "clientSignature": "客户端会签署他们的 saml 请求和响应吗?他们应该被验证吗?", "downloadType": "这是关于下载类型的信息", "details": "这是关于细节的信息", "clientPolicyName": "策略的显示名称", "createToken": "初始访问令牌只能用于创建客户端", "expiration": "指定令牌的有效期", "count": "指定使用令牌可以创建多少个客户端", "client-authenticator-type": "客户端身份验证,将根据 Keycloak 服务器验证此客户端", "registration-access-token": "注册访问令牌为客户端提供对客户端注册服务的访问。", "signature-algorithm": "JWA算法,客户端在签署JWT进行认证时需要使用的算法。如果留空,则允许客户端使用任何算法。", "anonymousAccessPolicies": "当未经身份验证的请求调用客户端注册服务时使用这些策略。这意味着该请求不包含初始访问令牌或承载令牌。", "authenticatedAccessPolicies": "当通过身份验证请求调用客户端注册服务时使用这些策略。这意味着该请求包含初始访问令牌或承载令牌。", "allowRegexComparison": "如果关闭,则来自给定客户端证书的主题 DN 必须与 RFC8705 规范中描述的‘主题 DN’属性中的给定 DN 完全匹配。主题 DN 可以采用 RFC2553 或 RFC1779 格式。如果打开, 那么来自给定客户端证书的主题 DN 应该与“主题 DN”属性指定的正则表达式相匹配。", "subject": "用于验证客户端证书中的主题 DN 的正则表达式。使用 \"(.*?)(?:$)\" 匹配所有类型的表达式。", "evaluateExplain": "此页面允许您查看所有协议映射器和角色范围映射", "effectiveProtocolMappers": "包含所有默认客户端范围和选定的可选范围。所有这些客户端范围的协议映射器和角色范围映射将在生成为客户端颁发的访问令牌时使用", "effectiveRoleScopeMappings": "选定的可选客户端范围,将在为该客户端发出访问令牌时使用。当您希望在初始OpenID连接身份验证请求从您的客户端适配器发送时并且要应用这些可选的客户端范围时,您可以在上面看到OAuth范围参数需要使用的值。", "generatedAccessToken": "请参阅示例访问令牌,该令牌将在选定用户通过身份验证时生成并发送到客户端。您可以看到令牌将包含的声明和角色基于有效的协议映射器和角色范围映射,也基于关于分配给用户本人的声明/角色", "generatedIdToken": "请参阅示例ID Token。当选定的用户通过身份验证时,ID token将被生成并发送给客户端。您可以看到令牌将包含的声明和角色基于有效的协议映射器和角色范围映射,也基于分配给用户自己的声明/角色。", "generatedUserInfo": "参见示例用户信息,它将由用户信息端点提供", "scopeParameter": "您可以复制/粘贴范围参数的这个值,并在从该客户端适配器发送的初始 OpenID Connect 身份验证请求中使用它。默认客户端范围和选定的可选客户端范围将在生成为此客户端颁发的令牌时使用", "user": "可选择用户,将为选择的用户生成示例访问令牌。如果不选择用户,则在评估期间不会生成示例访问令牌", "notBefore": "撤销在此时间之前为此客户端颁发的任何令牌。要推送该策略,您应该首先在“设置”选项卡中设置一个有效的管理 URL。", "notBeforeIntro": "为了成功向客户端推送撤销策略,您需要先为此客户端在<1>设置选项卡下设置管理 URL", "notBeforeTooltip": "管理员 URL 应该首先在设置选项卡中设置。", "nodeReRegistrationTimeout": "指定注册客户端集群节点重新注册的最大时间间隔。如果集群节点在这段时间内不向 Keycloak 发送重新注册请求,它将从 Keycloak 中注销", "fineGrainOpenIdConnectConfiguration": "此部分用于配置此客户端与 OpenID Connect 协议相关的高级设置。", "fineGrainSamlEndpointConfig": "此部分为断言消费者和单点注销服务配置确切的 URL。", "logoUrl": "引用客户端应用程序徽标的 URL", "policyUrl":"依赖方客户端提供给最终用户的 URL,以了解如何使用配置文件数据", "policyUsers": "指定此策略允许的用户。", "termsOfServiceUrl": "依赖方客户端提供给最终用户以阅读依赖方服务条款的 URL", "accessTokenSignatureAlgorithm": "用于签署访问令牌的 JWA 算法。", "idTokenSignatureAlgorithm": "用于签署 ID 令牌的 JWA 算法。", "idTokenEncryptionKeyManagementAlgorithm": "JWA 算法用于加密 ID 令牌的密钥管理。如果您想要加密的 ID 令牌,则需要此选项。如果留空,ID 令牌只是签名,但不加密。", "idTokenEncryptionContentEncryptionAlgorithm": "在加密 ID 令牌时用于内容加密的 JWA 算法。如果您想要加密的 ID 令牌,则需要此选项。如果留空,ID 令牌只是签名,但不加密。", "userInfoSignedResponseAlgorithm": "用于签名用户信息端点响应的 JWA 算法。如果设置为'未签名',则用户信息响应将不会被签名并将以 application/json 格式返回。", "userInfoResponseEncryptionKeyManagementAlgorithm": "JWA 算法用于加密用户信息端点响应的密钥管理。如果您想要加密用户信息端点响应,则需要此选项。如果留空,用户信息端点响应不加密。", "userInfoResponseEncryptionContentEncryptionAlgorithm": "在加密用户信息端点响应时用于内容加密的 JWA 算法。如果指定了用户信息响应加密密钥管理算法,则此值的默认值为 A128CBC-HS256。", "requestObjectSignatureAlgorithm": "JWA算法,客户端在发送'request'或'request_uri'参数指定的OIDC请求对象时需要使用的JWA算法。如果设置为'任何',请求对象可以被任何算法签名(包括'none') ", "requestObjectRequired": "指定客户端是否需要为其授权请求提供请求对象,以及他们可以为此使用什么方法。如果设置为\"not required\",则提供请求对象是可选的。在所有其他情况下, 提供请求对象是强制性的。如果设置为\"request\",则请求对象必须按值提供。如果设置为\"request_uri\",则请求对象必须通过引用提供。如果设置为\"request\" or request_uri\", 两种方法都可以使用。", "requestObjectEncryption": "JWE算法,客户端发送'request'或'request_uri'参数指定的OIDC请求对象时需要使用的JWE算法。如果设置为'任何',加密是可选的,允许任何算法。", "requestObjectEncoding": "JWE算法,client在对'request'或'request_uri'参数指定的OIDC请求对象的内容进行加密时需要使用的算法。如果设置为'any',则允许任何算法。", "validRequestURIs": "有效 URI 列表,可在 OpenID Connect 身份验证请求期间用作 'request_uri' 参数的值。支持与有效重定向 URI 相同的功能。例如通配符或相对路径。", "idpInitiatedSsoUrlName": "当您想执行 IDP 发起的 SSO 时引用客户端的 URL 片段名称。将此留空将禁用 IDP 发起的 SSO。您将从浏览器引用的 URL 将是:{server-root}/realms/{realm }/protocol/saml/clients/{client-url-name}", "idpInitiatedSsoRelayState": "当您想要执行 IDP 发起的 SSO 时,您想要使用 SAML 请求发送的中继状态。", "masterSamlProcessingUrl": "如果配置,则此 URL 将用于每个绑定到 SP 的断言消费者和单点注销服务。这可以在 Fine Grain SAML 端点配置中为每个绑定和服务单独覆写。", "authorizationSignedResponseAlg": "当响应模式为 jwt 时,用于签署授权响应令牌的 JWA 算法。", "authorizationEncryptedResponseAlg": "当响应模式为 jwt 时,用于加密授权响应的密钥管理的 JWA 算法。如果要加密授权响应,则需要此选项。如果留空,授权响应只是签名,但不加密。" , "authorizationEncryptedResponseEnc": "当响应模式为 jwt 时,JWA 加密授权响应时用于内容加密的算法。如果您想要加密授权响应,则需要此选项。如果留空,则授权响应只是签名,但不加密。" , "openIdConnectCompatibilityModes": "此部分用于配置与旧版 OpenID Connect / OAuth 2 适配器向后兼容的设置。特别是当您的客户端使用旧版 Keycloak / RH-SSO 适配器时,它非常有用。", "excludeSessionStateFromAuthenticationResponse": "如果启用,参数 'session_state' 将不会包含在 OpenID Connect 身份验证响应中。如果您的客户端使用不支持 'session_state' 参数的旧 OIDC / OAuth2 适配器,这将很有用。", "useRefreshTokens": "如果打开,将创建一个 refresh_token 并将其添加到令牌响应中。如果关闭,则不会生成任何 refresh_token。", "useRefreshTokenForClientCredentialsGrant": "如果启用,如果使用 client_credentials 授权,将创建一个 refresh_token 并将其添加到令牌响应中。OAuth 2.0 RFC6749 第 4.4.3 节指出,在使用 client_credentials 授权时不应生成 refresh_token。如果关闭则不会生成 refresh_token 并且相关的用户会话将被删除。", "useLowerCaseBearerType": "如果启用,令牌响应将设置为小写的类型 \"bearer\"。默认情况下,服务器将类型设置为 RFC6750 定义的 \"Bearer\"。", "advancedSettingsOpenid-connect": "此部分用于配置此客户端与 OpenID Connect 协议相关的高级设置", "advancedSettingsSaml": "此部分用于配置此客户端的高级设置", "assertionLifespan": "在 SAML 断言条件中设置的寿命。在此之后断言将无效。\"SessionNotOnOrAfter\" 属性不会被修改,并继续使用在领域级别定义的 \"SSO Session Max\" 时间。" , "accessTokenLifespan": "访问令牌过期前的最长时间。建议该值相对于 SSO 超时时间较短。", "clientSessionIdle": "在“刷新令牌”无效之前允许客户端空闲的时间。该选项仅影响令牌时间而不影响全局 SSO 会话。如果未设置,它将使用标准 SSO 会话空闲值。", "clientSessionMax": "客户端令牌失效前的最长时间。该选项仅影响令牌时间而不影响全局 SSO 会话。如果未设置,它将使用标准 SSO 会话最大值。", "clientOfflineSessionIdle": "在刷新离线令牌无效之前允许客户端空闲的时间。该选项仅影响令牌时间而不影响全局 SSO 会话。如果未设置,它将使用标准 SSO 会话空闲值。", "clientOfflineSessionMax": "离线令牌对客户端无效之前的最长时间。该选项仅影响令牌时间而不影响全局 SSO 会话。如果未设置,它将使用标准 SSO 会话最大值。", "oAuthMutual": "这启用了对 OAuth 2.0 双向 TLS 证书绑定访问令牌的支持,这意味着 keycloak 将访问令牌和刷新令牌与令牌的 X.509 证书绑定在一起,请求客户端在 keycloak 的令牌端点和这个客户。这些令牌可以被视为密钥持有者令牌而不是不记名令牌。", "keyForCodeExchange": "选择使用哪种 PKCE 代码质询方法。如果未指定,除非客户端发送具有适当代码质询和代码交换方法的授权请求,否则 keycloak 不会将 PKCE 应用于客户端。", "pushedAuthorizationRequestRequired": "布尔参数,指示授权服务器是否仅通过推送的授权请求方法接受授权请求数据。", "acrToLoAMapping": "定义哪个 ACR(身份验证上下文类参考)值映射到哪个 LoA(身份验证级别)。ACR 可以是任何值,而 LoA 必须是数字。", "defaultACRValues": "如果 OIDC 请求中的 'claims' 或 'acr_values' 参数没有明确请求 ACR,则用作自愿 ACR 的默认值。", "assertionConsumerServicePostBindingURL": "客户端断言消费者服务(登录响应)的 SAML POST 绑定 URL。如果您没有此绑定的 URL,则可以将其留空。", "assertionConsumerServiceRedirectBindingURL": "客户端断言消费者服务(登录响应)的 SAML 重定向绑定 URL。如果您没有此绑定的 URL,则可以将其留空。", "logoutServicePostBindingURL": "客户端单点注销服务的 SAML POST 绑定 URL。如果您使用不同的绑定,可以将此留空", "logoutServiceRedirectBindingURL": "客户端单点注销服务的 SAML 重定向绑定 URL。如果您使用不同的绑定,可以将此留空。", "logoutServiceSoapBindingUrl": "客户端单点注销服务的 SAML SOAP 绑定 URL。如果您使用不同的绑定,可以将此留空。", "logoutServiceArtifactBindingUrl": "客户端单一注销服务的 SAML ARTIFACT 绑定 URL。如果您使用不同的绑定,则可以将此留空。", "artifactBindingUrl": "将 HTTP ARTIFACT 消息发送到的 URL。如果您使用不同的绑定,则可以将此留空。在强制 ARTIFACT 绑定与 IdP 发起的登录时,应设置此值。", "frontchannelLogout": "当为 true 时,注销需要浏览器重定向到客户端。当为 false 时,服务器执行后台调用以注销。", "frontchannelLogoutUrl": "当注销请求发送到该领域时(通过 end_session_endpoint)将导致客户端自行注销的 URL。如果未提供,则默认为基本 url。", "backchannelLogoutUrl": "当注销请求发送到该领域时(通过 end_session_endpoint)将导致客户端自行注销的 URL。如果省略,在这种情况下将不会向客户端发送注销请求。", "backchannelLogoutSessionRequired": "指定在使用反向通道注销 URL 时注销令牌中是否包含 sid(会话 ID)声明。", "backchannelLogoutRevokeOfflineSessions": "指定在使用反向通道注销 URL 时注销令牌中是否包含 \"revoke_offline_access\" 事件。Keycloak 将在收到带有此事件的注销令牌时撤销离线会话。", "artifactResolutionService": "客户端的 SAML 工件解析服务。这是 Keycloak 将向其发送 SOAP ArtifactResolve 消息的端点。如果您没有此绑定的 URL,则可以将其留空。", "authenticationOverrides": "覆写领域认证流程绑定。", "browserFlow": "选择要用于浏览器身份验证的流程。", "directGrant": "选择您要用于直接授权身份验证的流程。", "useJwksUrl": "如果开关打开,客户端公钥将从给定的 JWKS URL 下载。这提供了很大的灵活性,因为当客户端生成新的密钥对时,新密钥总是会再次重新下载。如果开关关闭,公钥使用来自 Keycloak DB 的(或证书),因此当客户端密钥对更改时,您始终需要将新密钥(或证书)也导入 Keycloak DB。", "certificate": "用于验证JWT的客户端证书,由客户端私钥从您的密钥库中颁发并签名。", "jwksUrl": "存储 JWK 格式的客户端密钥的 URL。更多详细信息,请参阅 JWK 规范。如果您使用带有“jwt”凭证的 Keycloak 客户端适配器,则可以使用带有“/k_jwks”后缀的应用程序的 URL。例如“http://www.myhost.com/myapp/k_jwks”", "generateKeysDescription": "如果您生成新密钥,您可以自动下载带有私钥的密钥库并将其保存在您的客户端。Keycloak 服务器将只保存证书和公钥,而不保存私钥。", "archiveFormat": "Java 密钥库或 PKCS12 存档格式。", "keyAlias": "您的私钥和证书的存档别名。", "keyPassword": "访问存档中私钥的密码", "realmCertificateAlias": "领域证书也存储在存档中。这是它的别名。", "storePassword": "访问存档本身的密码", "consentRequired": "如果启用,用户必须同意客户端访问。", "displayOnClient": "仅当此客户端的“需要同意”打开时才适用。如果此开关关闭,则授权页面将仅包含与配置的客户端范围对应的授权。如果打开,授权上还会有一项关于此客户端本身的页面。", "consentScreenText": "仅当为此客户端启用“在授权页面显示客户端”时才适用。这包含将出现在授权页面上的关于此客户端特定权限的文本。", "import": "导入包含此资源服务器授权设置的 JSON 文件。", "policyEnforcementMode": "策略执行模式规定了在评估授权请求时如何执行策略。'强制执行' 意味着默认情况下拒绝请求,即使没有与给定资源关联的策略。'获准使用' 意味着即使有请求也被允许没有与给定资源关联的策略。“禁用”完全禁用策略评估并允许访问任何资源。", "decisionStrategy": "决策策略规定了如何评估权限以及如何获得最终决定。'肯定'意味着至少一个权限必须评估为肯定的决定才能授予对资源及其范围的访问权限。'一致' 意味着所有权限都必须评估为一个肯定的决定,以便最终决定也是正向的。", "allowRemoteResourceManagement": "资源应该由资源服务器远程管理吗?如果为假,资源只能从这个 Admin UI 管理。", "resourceName": "此资源的唯一名称。该名称可用于唯一标识资源,在查询特定资源时很有用。", "displayName": "资源的用户友好名称,主要用于呈现面向用户的表单。它支持国际化,以便可以从消息包中加载值。", "type": "该资源的类型。可用于对同一类型的不同资源实例进行分组。", "uris": "一组受资源保护的 URI。", "scopes": "与此资源关联的范围。", "dedicatedScopeExplain": "这是一个包括专用映射器和范围的客户端范围", "fullScopeAllowed": "允许您禁用所有限制。", "iconUri": "指向图标的 URI。", "ownerManagedAccess": "如果启用,资源所有者可以管理对该资源的访问设置。", "resourceAttribute": "与资源关联的属性。", "resetActions": "向用户发送重置操作电子邮件时要执行的操作。'验证电子邮件'向用户发送电子邮件以验证其电子邮件地址。'更新个人资料'要求用户输入新的个人信息。'更新密码”要求用户输入新密码。“配置 OTP”需要设置移动密码生成器。", "lifespan": "行动许可到期前的最长时间。", "scopeName": "此作用域的唯一名称。该名称可用于唯一标识一个作用域,在查询特定作​​用域时很有用。", "scopeDisplayName": "此作用域的唯一名称。该名称可用于唯一标识一个作用域,在查询特定作​​用域时很有用。", "policy-name": "策略的名称。", "policy-description": "策略的描述。", "policyDecisionStagey": "决策策略规定了如何评估与给定权限相关的策略以及如何获得最终决定。'肯定'意味着至少有一个策略必须评估为肯定的决定才能做出最终决定也是肯定的。“一致”意味着所有政策都必须评估为肯定的决定,以便最终决定也是肯定的。“共识”意味着积极决定的数量必须大于消极决定的数量。如果数量正面和负面的相同,最终决定是否定的。", "applyPolicy": "指定必须应用于此策略或权限定义的范围的所有策略。", "policyClient": "指定此策略允许的客户端。", "groupsClaim": "如果已定义,该策略将从表示请求权限的身份的访问令牌或 ID 令牌中的给定声明中获取用户组。如果未定义,则用户组将从您的领域配置中获取。", "policyGroups": "指定此策略允许的用户。", "targetClaim": "指定策略将获取的目标声明。", "regexPattern": "指定正则表达式模式。", "policyRoles": "指定此策略允许的客户端角色。", "startTime": "定义在该时间之前不得授予策略。仅当当前日期/时间晚于或等于此值时才授予。", "expireTime": "定义在该时间之后不得授予策略。仅当当前日期/时间早于或等于此值时才授予。", "month": "定义必须授予策略的月份。您还可以通过填写第二个字段来提供范围。在这种情况下,仅当当前月份介于或等于您提供的两个值时才授予权限。" , "dayMonth": "定义必须授予策略的日期。您还可以通过填写第二个字段来提供范围。在这种情况下,仅当月份的当前日期介于或等于两个值时才授予权限。", "hour": "定义必须授予策略的时间。您还可以通过填写第二个字段来提供范围。在这种情况下,仅当当前时间介于或等于您提供的两个值时才授予权限。" , "minute": "定义必须授予策略的分钟。您还可以通过填写第二个字段来提供范围。在这种情况下,仅当当前分钟介于或等于您提供的两个值时才授予权限。" , "policyCode": "为该策略提供条件的 JavaScript 代码。", "logic": "逻辑决定了应该如何做出政策决定。如果是'肯定',则在评估该政策期间获得的结果效果(允许或拒绝)将用于执行决定。如果'否定',则由此产生的效果将被否定,换句话说,许可变为拒绝,反之亦然。", "permissionName": "权限的名称。", "permissionDescription": "权限的描述。", "applyToResourceTypeFlag": "指定此权限是否应用于给定类型的所有资源。在这种情况下,将为给定资源类型的所有实例评估此权限。", "permissionResources": "指定此权限必须应用于特定资源实例。", "permissionScopes": "指定此权限必须应用于一个或多个范围。", "permissionPolicies": "指定必须应用于此策略或权限定义的范围的所有策略。", "permissionType": "指定此权限必须应用于给定类型的所有资源实例。", "permissionDecisionStrategy": "决策策略规定了如何评估与给定权限相关的策略以及如何获得最终决策。'肯定'意味着至少有一个策略必须评估为肯定决策才能做出最终决策也是肯定的。“一致”意味着所有政策都必须评估为肯定的决定,以便最终决定也是肯定的。“共识”意味着肯定决定的数量必须大于否定决定的数量。如果肯定和否定的数量相同,则最终决定是否定的。", "permissionsEnabled": "确定是否启用细粒度权限来管理此角色。禁用将删除所有已设置的当前权限。" }