Richtlinie für adaptiven Zugriff erstellen

Online bearbeiten

Sie können eine Richtlinie für adaptiven Zugriff über die IBM® Verify-Verwaltungskonsole erstellen.

Informationen zu dieser Task

Hinweis: FedRAMP unterstützt keinen adaptiven Zugriff. Daher steht diese Funktion für Kunden von „ FedRAMP “ nicht zur Verfügung.

Vorgehensweise

  1. Melden Sie sich als Administrator bei der IBM Verify Verwaltungskonsole an.
  2. Klicken Sie im Navigationsmenü auf Sicherheit > Zugriffsrichtlinien.
    In einer Tabelle werden die verfügbaren Richtlinien nach Namen und Beschreibung aufgelistet. LöschenDie Symbole zeigen an, ob die Richtlinie gelöscht werden kann. Ein Schloss-Symbol Sperren zeigt an, dass die Richtlinie voreingestellt ist und weder geändert noch gelöscht werden kann.
  3. Klicken Sie auf „Richtlinie hinzufügen “.
  4. Geben Sie den Richtliniennamen und wahlweise eine Richtlinienbeschreibung an.
  5. Klicken Sie auf Weiter.
  6. Aktivieren Sie den Schalter „Adaptiver Zugriff “.
  7. Optional: Passen Sie die Maßnahmen für jede Risikostufe an.
    Tabelle 1. Risikostufen und Abhilfemaßnahmen
    In der Tabelle werden die Risikostufen, die Beschreibungen der Risiken, die Standardaktionen und eine Liste der verfügbaren Aktionen angezeigt. Ein sehr hohes Risiko hat die Standardaktion 'Blockieren'. Ein hohes Risiko hat die Standardaktion 'Immer MFA'. Ein mittleres Risiko hat die Standardaktion 'MFA pro Sitzung'. Ein niedriges Risiko hat die Standardaktion 'Ermöglichen'.
    Hinweis: Die für die einzelnen Risikostufen angezeigten Maßnahmen sind Standardmaßnahmen, die unverändert beibehalten oder bei Bedarf angepasst werden können.
    Risikostufe Beschreibung Standardaktionen Verfügbare Korrekturaktionen
    Sehr hoch Ein Benutzer, der als Benutzer mit sehr hohem Risiko bewertet wird, muss für das Unternehmen als kritisches Risiko betrachtet werden. Entweder hat sich der Benutzer verdächtig verhalten oder das von ihm verwendete Gerät ist unbekannt oder nicht vertrauenswürdig oder das Gerät enthält Malware. Block
    Blockieren (Überschreibung)
    Die Aktion 'Blockieren' überschreibt alle anderen Entscheidungen in der Richtlinie.
    MFA (Überschreibung)
    Die MFA-Aktion überschreibt alle anderen Entscheidungen in der Richtlinie.
    Ermöglichen (Überschreibung)
    Die Aktion zum Ermöglichen überschreibt alle anderen Entscheidungen in der Richtlinie.
    Block
    Dem Benutzer wird der Zugriff verweigert.
    Immer MFA
    Es ist immer eine MFA erforderlich, selbst in derselben Sitzung.
    MFA pro Sitzung
    Falls noch keine MFA erfolgt ist, eine MFA erzwingen.
    Zulassen
    Dem Benutzer wird der Zugriff erteilt.
    Weitere Informationen zu Korrekturmaßnahmen finden Sie unter „Adaptive Access-Benutzeraktionen “.
    MFA-Optionen
    Sie können eine oder mehrere Methoden auswählen, die für die Mehrfaktorauthentifizierung verwendet werden können.
    • E-Mail-OTP
    • FIDO2
    • SMS-OTP
    • Zeitbasiertes OTP
    • IBM Verify
    • Sprach-OTP
    Hoch Ein Benutzer, der als Benutzer mit hohem Risiko bewertet wird, muss dem Unternehmen seine Identität jedes Mal erneut bestätigen, wenn er versucht, auf eine Anwendung zuzugreifen, die für den adaptiven Zugriff aktiviert ist. Mit dieser Mehrfaktorauthentifizierung wird sichergestellt, dass das Unternehmen darauf vertrauen kann, dass Benutzer, der auf die Anwendung zugreift, tatsächlich der erwartete Benutzer ist. Immer MFA
    Mittel Ein Benutzer, der als Benutzer mit mittlerem Risiko bewertet wird, muss seine Identität einmal pro Sitzung bestätigen. Mit dieser Mehrfaktorauthentifizierung wird während der ersten Anwendungsauthentifizierung sichergestellt, dass der Benutzer tatsächlich der Benutzer ist, als der er sich anmeldet. Nachfolgende Authentifizierungsanforderungen erfordern keine Authentifizierung der zweiten Ebene. Wenn die Sitzung abläuft, muss der Benutzer eine weitere Authentifizierung bereitstellen. MFA pro Sitzung
    Niedrig Ein Benutzer, der als Benutzer mit niedrigem Risiko bewertet wird, muss außer seiner ersten Authentifizierung keine weiteren Informationen bezüglich seiner Identität bereitstellen. Alle nachfolgenden Zugriffe auf die Anwendung sind zulässig. Wenn die aktuelle Verify-Sitzung abläuft, muss der Benutzer seine Identität erneut bestätigen. Zugriff auf Anwendungen wird erteilt. Zulassen
  8. Optional: Aktivieren Sie die Benachrichtigungsfunktion, um den Benutzer zu benachrichtigen, wenn der Zugriff angefochten oder verweigert wird.
    Tabelle 2. E-Mail-Informationen
    Attribut Beschreibung Benutzeraktion
    Standort Falls verfügbar, der Name der Stadt und des Landes, aus der bzw. dem die Anforderung stammte. Validiert, dass es sich bei diesem Standort um einen bekannten Standort handelt, von dem aus sich der Benutzer in der Vergangenheit authentifiziert hat.
    Browser Der Name und die Version des Browsers, von dem die Anforderung stammte. Validiert, dass es sich bei diesem Browser um einen bekannten Browser handelt, den der Benutzer für die Authentifizierung bei der Anwendung verwendet hat.
    IP-Adresse Die IP-Adresse, von der die Anforderung stammte. Validiert, falls möglich, ob die IP-Adresse bekannt ist.
  9. Klicken Sie auf Weiter.
  10. Optional: Füge eine Regel hinzu.
    Siehe „Verwalten von Richtlinienregeln für den adaptiven Zugriff “.
  11. Optional: Ändern Sie die Aktion für die Standardregel.
    Klicken Sie auf das Symbol Bearbeiten für die Standardregel und wählen Sie eine Aktion aus dem Menü aus. Klicken Sie anschließend auf „Speichern “.
  12. Klicken Sie auf „Speichern “.
    Die Richtlinie wird der Liste der verfügbaren Richtlinien hinzugefügt und kann ausgewählt werden, wenn Sie die Zugriffsrichtlinie für die Verwaltungskonsole und die Startseite festlegen.

Nächste Schritte

Verwalten Sie die Richtlinienregeln. Siehe „Verwalten von Richtlinienregeln für den adaptiven Zugriff “.