管理SaaS应用程序的租户限制（租户限制策略）

租户限制策略允许您创建规则，以限制用户可以在网络中访问的应用程序租户。 这可以帮助您通过阻止访问组织租户以外的租户来保护您的网络。 例如，您可以阻止用户访问他们的个人电子邮件帐户或文件共享帐户，以帮助防止敏感数据泄漏。

租户限制规则库通过更改 HTTP 客户端请求的头部字段来控制指向 SaaS 应用程序的用户流量。 当流量与规则匹配时，卡托充当代理并注入您为该规则定义的超文本传输协议头。 第三方应用程序接收您指定的头，然后为该应用程序强制执行您组织的租户访问策略。

您可以配置适用于特定用户组、站点或其他来源的细粒度租户限制规则。 细粒度规则可以帮助您逐步实施租户限制，避免潜在的可用性问题。 您还可以创建规则以绕过指定来源的租户限制。

启用租户限制访问权限策略以创建规则，控制对 SaaS 应用程序租户的访问。

当您向租户限制策略添加规则时，配置规则中需要定义应用程序租户访问的每个部分。

创建租户限制规则

创建新租户限制规则，并配置规则设置以实现您组织的租户控制。 注入的标头字段只能包含以下字符：

• 头部名称 - a-z, A-Z, 0-9, 和特殊字符：_ 和 -

• 标头值 - a-z, A-Z, 0-9, 和特殊字符：_ :;.,\/"'?!(){}[]@<>=-+*#$&`|~^&

创建新租户限制规则：

1. 从导航菜单中选择安全 > 应用程序 & 数据内联。

2. 选择租户限制标签页。

3. 点击新建。 新规则面板打开。

4. 输入规则的名称。

5. 在规则库中配置规则的位置。

6. 展开来源并选择来源类型。

   • 选择类型（例如：主机、网络接口、IP、任何）。 默认值是 任何。

   • 在需要时，从下拉列表中选择特定对象。

7. 从下拉菜单中选择一个SaaS 应用程序。

8. 为配置的应用程序定义每个头部名称和标头值（参见下文以获取更多信息）。

9. 选择此规则的操作。 选项是注入标头和绕过。

10. (可选) 配置定义此规则启用时间的时间选项。

11. 点击保存。

    更改会保存到您的未发布修订版本中，并在发布或丢弃之前可供编辑。

头部名称和标头值字段定义了应用程序和租户限制策略执行的操作。 这些字段是每个应用程序特有的。 以下是常用应用程序所需字段的示例。 为了确保您拥有最新信息，我们建议检查应用程序的文档。