Richtlinienregeln für adaptiven Zugriff verwalten

Online bearbeiten

Sie können Richtlinienregeln entweder hinzufügen, wenn Sie eine Richtlinie erstellen oder wenn Sie eine Richtlinie bearbeiten.

Informationen zu dieser Task

Die Regelbewertung einer Richtlinie in Verify basiert auf der Reihenfolge der Auswertung. Jede Regel in der Richtlinie wird gemäß der Reihenfolge bewertet. Die erste Regel, die erfolgreich ausgewertet wird, gibt die Aktion an, die ihr zugeordnet ist. Die Reihenfolge, in der die Regeln aufgelistet sind, ist für das Ergebnis der Richtlinie wichtig. Sie können die Reihenfolge der Regeln ändern, um sicherzustellen, dass die Richtlinie und ihre Regeln zur Erfüllung bestimmter Geschäftsanwendungsfälle bewertet werden können. Siehe 3.e.

Wenn für keine der Regeln eine Übereinstimmung gefunden wird, wird die Aktion, die der Standardregel zugeordnet ist, verwendet.

Die Regelauswertung wird mit der Risikobewertung kombiniert, um die Richtlinienauswertung insgesamt zu bestimmen.

Vorgehensweise

  1. Melden Sie sich als Administrator bei der IBM® Verify Verwaltungskonsole an.
  2. Fügen Sie eine Regel hinzu.
    1. Navigieren Sie entweder über „Richtlinie hinzufügen“ oder durch Bearbeiten einer bestehenden Richtlinie zur Schaltfläche „Regel hinzufügen “.
    2. Klicken Sie auf „Regel hinzufügen “.
    3. Geben Sie den Regelnamen ein.
    4. Optional: Fügen Sie eine Beschreibung für die Regel hinzu.
    5. Klicken Sie auf Weiter.
    6. Wählen Sie Bedingungstyp, Attribut, Operator und Wert aus.
      Tabelle 1. Politische Optionen

      In der Tabelle sind die Bedingungstypattribute aufgelistet. Die Bedingungen sind nach adaptivem Zugriff, OIDC/OAuth-Kontext, angepassten Attributen, Geräteattributen und Benutzerattributen sortiert.
      Bedingungstyp Operation Bedingungswerte
      Adaptiver Zugriff
      Diese Attribute sind verfügbar, wenn für die Richtlinie 'Adaptiver Zugriff' ausgewählt ist.
      Hinweis: FedRAMP unterstützt keinen adaptiven Zugriff. Daher stehen diese und alle anderen Trusteer-Funktionen für Kunden von „ FedRAMP “ nicht zur Verfügung.
      Neues Gerät
      • ist
      • ist nicht
      		 Erkannt.
      Neuer Standort
      • ist
      • ist nicht
      		 Erkannt.
      Gerätestatus
      • ist eines von
      • ist keines von
      		 Wählen Sie einen Bedingungswert aus.
      Risikostufe
      • ist eines von
      • ist keines von
      		 Geben Sie einen Bedingungswert an.
      Letzte MFA auf Gerät
      • kleiner als
      • größer als
      		 Anzahl der Tage, seit eine MFA auf dem Gerät ausgeführt wurde.

      Der Wert kann 1-740 Tage betragen. Die Standardeinstellung ist 90 Tage.
      Risikobehaftetes Gerät
      • ist
      • ist nicht
      		 Erkannt.
      Risikobehaftete Verbindung
      • ist
      • ist nicht
      		 Erkannt.
      Land
      • ist eines von
      • ist keines von
      		 Geben Sie einen Bedingungswert an.
      Ort
      • ist eines von
      • ist keines von
      		 Geben Sie einen Bedingungswert an.
      Internet-Service-Provider
      • enthält jedes von
      • ist eines von
      • ist keines von
      		 Geben Sie einen Bedingungswert an.
      Netzadresse (IP)
      • ist eines von
      • ist keines von
      		 Geben Sie einen Bedingungswert an.
      Unregelmäßigkeit
      • Ist
      • Ist nicht
      		 Erkannt.
      OIDC/OAuth-Kontext
      acr_values
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie einen Bedingungswert an.
      claims
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie einen Bedingungswert an.
      client_type
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie einen Bedingungswert an.
      code_challenge_exist
      • ist
      • ist nicht
      		 Erkannt.
      redirect_uri_scheme
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie einen Bedingungswert an.
      request_type
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie einen Bedingungswert an.
      response_method
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie einen Bedingungswert an.
      response_mode
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie einen Bedingungswert an.
      response_type
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie einen Bedingungswert an.
      Umfang
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie einen Bedingungswert an.
      Angepasste Attribute
      Eines der von Ihnen hinzugefügten Attribute
      • enthält jedes von
      • ist keines von
      • ist eines von
      • Attribut beginnt mit
      • Attribut endet mit
      • Attribut ist vorhanden (kein Wert)
      		 Geben Sie einen Bedingungswert an.
      Hinweis: Mit Hilfe von Attributfunktionen können aus der vollständigen JSON-Antwort des adaptiven Zugriffs Elemente extrahiert werden, die nicht in der vordefinierten Bedingung für den adaptiven Zugriff enthalten sind. Sie können in benutzerdefinierte Attribute extrahiert werden, die in den Bedingungen von Richtlinienregeln ausgewertet werden können. Siehe den Abschnitt „Adaptives Risiko“ unter a2_manage_rules_ve.dit Attributfunktionen, .. /references/r_attr_functions.html #r_attr_functions__adaptive.
      Geräteattribute
      Neues Gerät
      • Ist
      		 Erkannt.
      Hinweis: Wenn das Gerät neu ist und die MFA in der Sitzung noch nicht abgeschlossen wurde, wird die Regelaktion auf „Immer MFA“ umgesetzt.
      Geräteplattform
      • ist eines von
      • ist keines von
      		 Wählen Sie eine oder mehrere Plattformen aus.
      Gerätekonformität
      • ist eines von
      • ist keines von
      		 Wählen Sie einen oder mehrere Konformitätsstatus aus.
      Benutzerattribute
      Gruppenzugehörigkeit
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie eine Gruppe oder eine Liste der durch Kommas getrennten Gruppen an.
      Hinweis: Durch Kommas getrennte Gruppenbezeichnungen im Format „ Active Directory “ müssen in doppelte Anführungszeichen gesetzt werden. Beispiel: “cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.
      realmName
      • enthält jedes von
      • ist keines von
      • ist eines von
      		 Geben Sie den Namen des Realms an.
    7. Optional: Klicken Sie auf „Bedingung hinzufügen“, um der Richtlinienregel weitere Bedingungstypen, Attribute, Operationen und Werte hinzuzufügen.
    8. Klicken Sie auf Weiter.
    9. Wählen Sie die Aktion für die Richtlinie aus dem Menü aus.
      • Weiterleitung zu weiteren Inhalten
      • Blockieren (Überschreibung)
      • MFA (Überschreibung)
      • Ermöglichen (Überschreibung)
      • Block
      • Immer MFA
      • MFA pro Sitzung
      • Weiter
      • Zulassen
      Wenn Sie eine MFA-Aktion auswählen, müssen Sie auch die MFA-Methode angeben. Sie können eine beliebige verfügbare Methode oder eine oder mehrere bestimmte Methoden auswählen. Die verfügbare Auswahl hängt davon ab, was für Ihren Tenant konfiguriert ist. Beispiel:
      • E-Mail-OTP
      • FIDO2
      • SMS-OTP
      • Zeitbasiertes OTP
      • App IBM Verify
      • Sprach-OTP
    10. Klicken Sie auf „Regel hinzufügen “.
      Der Regeltyp wird der Liste der Richtlinienregeln hinzugefügt.
  3. Bearbeiten oder löschen Sie eine Regel.
    1. Klicken Sie auf die Richtlinie, deren Regeln Sie ändern wollen.
    2. BearbeitenKlicken Sie auf „Entwurf bearbeiten“.
    3. Klicken Sie im Abschnitt „Richtlinienregeln“ auf das Bearbeiten Symbol der Regel, die Sie bearbeiten möchten.
      Sie können den Regelnamen ändern, eine Bedingung hinzufügen, vorhandene Bedingungsoperationscodes oder -werte ändern oder die Aktion für die Regel ändern.
    4. Klicken Sie auf Weiter.
    5. Optional: Im Abschnitt „Richtlinienregeln“ können Sie mithilfe der Aufwärtspfeil Symbole und Abwärtspfeil die Reihenfolge festlegen, in der die Regeln ausgewertet werden.
      Die Auswertung erfolgt in absteigender Reihenfolge. Die Standardregel ist immer die letzte Regel in der Folge.
    6. Optional: Im Abschnitt „Richtlinienregeln“ können Sie das Symbol Mülleimer-Symbol „Löschen“ verwenden, um eine Regel zu löschen.
    7. Klicken Sie auf „Entwurf speichern “.