管理SaaS应用程序的租户限制（租户限制策略）

租户限制策略允许您创建规则，以限制用户可以在网络中访问的应用程序租户。 这可以帮助您通过阻止访问组织租户以外的租户来保护您的网络。 例如，您可以阻止用户访问他们的个人电子邮件帐户或文件共享帐户，以帮助防止敏感数据泄漏。

租户限制规则库通过更改 HTTP 客户端请求的头部字段来控制指向 SaaS 应用程序的用户流量。 当流量与规则匹配时，卡托充当代理并注入您为该规则定义的超文本传输协议头。 第三方应用程序接收您指定的头，然后为该应用程序强制执行您组织的租户访问策略。

您可以配置适用于特定用户组、站点或其他来源的细粒度租户限制规则。 细粒度规则可以帮助您逐步实施租户限制，避免潜在的可用性问题。 您还可以创建规则以绕过指定来源的租户限制。

启用租户限制访问权限策略以创建规则，控制对 SaaS 应用程序租户的访问。

当您向租户限制策略添加规则时，配置规则中需要定义应用程序租户访问的每个部分。

创建租户限制规则

创建新租户限制规则，并配置规则设置以实现您组织的租户控制。 注入的标头字段只能包含以下字符：

• 头部名称 - a-z, A-Z, 0-9, 和特殊字符: _ 和 -
• 标头值 - a-z, A-Z, 0-9, 和特殊字符: _ :;.,\/"'?!(){}[]@<>=-+*#$&`|~^&

创建新的租户限制规则：

1. 从导航菜单中选择安全性 > 应用 & 数据内联。
2. 选择 租户限制 标签页。
3. 点击 新建。 新建规则 面板打开。
4. 为规则输入一个名称。
5. 在规则库中配置规则的位置。

6. 展开来源并选择来源类型。

   • 选择类型（例如：主机、网络接口、IP、任何）。 默认值为任何。
   • 在需要时，从下拉列表中选择该类型的特定对象。
7. 从下拉菜单中选择一个SaaS 应用程序。
8. 定义配置应用程序的每个头部名称和标头值（见下文了解更多信息）。
9. 选择此规则的操作。 选项为注入标头和绕过。
10. （可选） 配置定义何时启用此规则的时间选项。

11. 点击保存。

    更改会保存到您的未发布修订版本中，并在发布或丢弃之前可供编辑。

头部名称和标头值字段定义了应用程序和租户限制策略执行的操作。 这些字段是每个应用程序特有的。 以下是常用应用程序所需字段的示例。 为了确保您拥有最新信息，我们建议检查应用程序的文档。