Zugriffsrichtlinie erstellen

Online bearbeiten

Legen Sie die Zugriffsrichtlinien und -regeln fest, die Sie auf Anwendungen anwenden möchten.

Vorgehensweise

  1. Wählen Sie „Sicherheit “ > „Zugriffsrichtlinien “.
  2. Klicken Sie auf.
  3. Geben Sie den Richtliniennamen an.
  4. Wählen Sie einen Richtlinientyp aus.
    Richtlinie für föderierte Anmeldung
    Diese Richtlinien legen die Regeln fest, die nach der Ausführung der Benutzerauthentifizierung ausgewertet werden. Regeln für den ersten Kontakt sind für Richtlinien für die föderierte Anmeldung nicht verfügbar.
    Richtlinie für native Web-App
    Eine Richtlinie für Web-native Apps umfasst sowohl Regeln vor als auch nach der Authentifizierung für die verschiedenen Phasen der Authentifizierung.

    Beim ersten Faktor der Richtlinie für native Web-Apps vor der Authentifizierung haben Regeln unterschiedliche Ergebnisaktionen, entweder "Abfrage" oder "Blockieren". Für sie ist eine begrenzte Gruppe von Attributen, wie 'IP' oder 'location' vorhanden, da der tatsächliche Benutzer nicht bekannt ist. Regeln für den zweiten Faktor, die in der Richtlinie für native Web-Apps enthalten sind und nach der Authentifizierung ausgewertet werden, sind dieselben Regeln wie die Richtlinienregeln für die föderierte Anmeldung in Bezug auf die verfügbaren Attribute und Aktionen.

    Richtlinie für native mobile App
    Eine Richtlinie für native Mobil-Apps umfasst sowohl Regeln vor als auch nach der Authentifizierung für die verschiedenen Phasen der Authentifizierung.

    Regeln für den ersten Faktor, die in der Richtlinie für native mobile Apps enthalten sind und vor der Authentifizierung ausgewertet werden, haben unterschiedliche Ergebnisaktionen, Abfragen oder Blockieren. Für sie ist eine begrenzte Gruppe von Attributen, wie z. B. Attribute für OIDC/OAuth-Kontext oder Standortattribute vorhanden, da der tatsächliche Benutzer nicht bekannt ist. Regeln für den zweiten Faktor, die in der Richtlinie für native mobile Apps enthalten sind und nach der Authentifizierung ausgewertet werden, sind dieselben Regeln wie die Richtlinienregeln für die föderierte Anmeldung in Bezug auf die verfügbaren Attribute und Aktionen.

    Richtlinie für native angepasste App
    Eine native Richtlinie für benutzerdefinierte Apps umfasst sowohl Regeln vor als auch nach der Authentifizierung für die verschiedenen Phasen der Authentifizierung. Sie unterscheidet sich jedoch von den nativen webbasierten und mobilen Richtlinien dadurch, dass sie die Option für adaptiven Zugriff nicht bereitstellt.

    Regeln für den ersten Faktor, die in der Richtlinie für native angepasste Apps enthalten sind und vor der Authentifizierung ausgewertet werden, haben unterschiedliche Ergebnisaktionen, Abfragen oder Blockieren. Für sie ist eine begrenzte Gruppe von Attributen, wie z. B. Attribute für OIDC/OAuth-Kontext oder Standortattribute vorhanden, da der tatsächliche Benutzer nicht bekannt ist. Regeln für den zweiten Faktor, die in der Richtlinie für native angepasste Apps enthalten sind und nach der Authentifizierung ausgewertet werden, sind dieselben Regeln wie die Richtlinienregeln für die föderierte Anmeldung in Bezug auf die verfügbaren Attribute und Aktionen.

    Hinweis: Wenn Sie die Option „Native benutzerdefinierte App-Richtlinie“ auswählen, ist „Adaptive Access“ nicht verfügbar.
  5. Klicken Sie auf „Richtlinie erstellen “.
    Ein Richtlinienentwurf wird angezeigt. Im Detail fenster werden die ID, das Erstellungsdatum, der Ersteller, das Datum der letzten Änderung und die Version angezeigt.
  6. Optional: Klicken Sie auf das Bearbeiten Symbol, um die Grundeinstellungen zu bearbeiten.
    1. Ändern Sie den Richtliniennamen.
    2. Fügen Sie eine Beschreibung hinzu, die Informationen zu der Richtlinie enthält.
    3. Klicken Sie auf „Speichern “.
  7. Erstellen Sie für native App-Richtlinien die Regeln für den ersten Kontakt.
    Informationen zu den Regeln finden Sie unter „Verwalten von Richtlinienregeln “.
    1. Klicken Sie auf „Regel hinzufügen “.
    2. Geben Sie einen Namen für die Regel an.
    3. Optional: Fügen Sie eine Beschreibung hinzu.
    4. Klicken Sie auf Weiter.
    5. Wählen Sie Bedingungstyp, Attribut, Operator und Bedingungswert aus.
    6. Optional: Klicken Sie auf „Bedingung hinzufügen“, um der Richtlinienregel weitere Bedingungstypen, Attribute, Operatoren und Werte hinzuzufügen.
    7. Klicken Sie auf Weiter.
    8. Wählen Sie eine Option für den ersten Kontakt aus : „Herausforderung“ oder „Blockieren “.
    9. Geben Sie unter „Challenge“ die MFA-Methode an, die für die Authentifizierung verwendet werden soll.
    10. Klicken Sie auf „Regel hinzufügen “.
      Wiederholen Sie diese Schritte für jede Regel, die Sie hinzufügen möchten.
  8. Wählen Sie aus, ob der adaptive Zugriff aktiviert werden soll.
    Informationen zu Adaptive Access finden Sie unter „Adaptive Access verwalten “.
    Hinweis:
    • Diese Option ist für Richtlinien für native angepasste Apps nicht verfügbar.
    • FedRAMP unterstützt keinen adaptiven Zugriff. Daher steht diese Option für Kunden von „ FedRAMP “ nicht zur Verfügung.
    1. Wählen Sie die Aktion aus, die für jede Risikostufe ausgeführt wird. Für MFA-Aktionen können Sie eine oder mehrere der folgenden Methoden auswählen, die auf der Konfiguration der Authentifizierungsfaktoren für Mandanten basieren.
      • Beliebige verfügbare Methode (Standardwert)
      • E-Mail-OTP
      • FIDO2
      • SMS-OTP
      • Zeitbasiertes OTP
      • IBM Verify
      • Sprach-OTP
      • Duo-Sicherheit
      • Angepasster Provider
      Hinweis: Für Nutzer wird der Begriff „Passkey“ anstelle von „FIDO“ verwendet, um eine benutzerfreundlichere Erfahrung zu bieten.
    2. Wählen Sie aus, ob Benachrichtigungen an den Benutzer gesendet werden sollen.
  9. Klicken Sie auf „Speichern “.
  10. Wählen Sie aus, ob die Mehrfaktorauthentifizierung erforderlich ist.
    1. Klicken Sie auf das Bearbeiten Symbol, um die Einstellungen für die erneute Authentifizierung zu bearbeiten.
    2. Aktivieren Sie das Kontrollkästchen „Mehrstufige Authentifizierung erforderlich “.
    3. Wählen Sie die Dauer aus, die die Authentifizierung gültig bleibt. Nach Ablauf dieser Zeit muss sich der Benutzer erneut authentifizieren. Die Standardeinstellung ist 8 Stunden.
    4. Sie können angeben, ob die erneute Authentifizierung auf jedes Gerät des Benutzers angewendet werden soll.
    5. Wählen Sie die Methoden für die erneute Authentifizierung aus.
      Bei MFA-Methoden können Sie festlegen, dass jede verfügbare Methode verwendet wird, oder eine oder mehrere der folgenden Methoden auswählen, die auf der Konfiguration des Mandanten-Authentifizierungsfaktors basieren.
      • Beliebige verfügbare Methode (Standardwert)
      • E-Mail-OTP
      • FIDO2
      • SMS-OTP
      • Zeitbasiertes OTP
      • IBM Verify
      • Sprach-OTP
      • Duo-Sicherheit
      • Angepasster Provider
    6. Klicken Sie auf „Speichern “.
  11. Externe Integrationen hinzufügen.
    1. Klicken Sie auf „Integration hinzufügen “.
    2. Wählen Sie einen Ihrer Webhooks für Echtzeit-Zugriffsrichtlinien aus den verfügbaren Integrationen aus.
    3. Optional: Rufen Sie die Seite „Echtzeit-Webhooks “ auf, um eine Echtzeit-Zugriffsrichtlinie zu erstellen.
    4. Klicken Sie auf „Speichern “.
    Sie können die Bedingung des ausgewählten Webhooks unter „Richtlinienregeln (SSO) “ bearbeiten.
  12. Richtlinien für die Zeit nach der Authentifizierung festlegen.
    Informationen zu den Regeln finden Sie unter „Verwalten von Richtlinienregeln “.
    1. Klicken Sie auf „Regel hinzufügen “.
    2. Geben Sie einen Namen für die Regel an.
    3. Optional: Fügen Sie eine Beschreibung für die Regel hinzu.
    4. Klicken Sie auf Weiter.
    5. Wählen Sie Bedingungstyp, Attribut, Operator und Bedingungswert aus.
    6. Optional: Klicken Sie auf „Bedingung hinzufügen“, um der Richtlinienregel weitere Bedingungstypen, Attribute, Operatoren und Werte hinzuzufügen.
    7. Klicken Sie auf Weiter.
    8. Wählen Sie die Aktion aus, die ausgeführt werden soll, wenn die Regelbedingungen erfüllt sind.
      • Weiterleitung für weitere Informationen
      • Blockieren (Überschreibung)
      • MFA (Überschreibung)
      • Ermöglichen (Überschreibung)
      • Block
      • Immer MFA
      • MFA pro Sitzung
      • Weiter
      • Zulassen
      Hinweis: Die Aktion „Weiter“ ist nur verfügbar, wenn der adaptive Zugriff aktiviert ist.
    9. Wenn Sie eine MFA-Option ausgewählt haben, geben Sie die Mehrfaktorauthentifizierungsmethode an.
      Verwenden Sie eine beliebige verfügbare Methode oder wählen Sie mindestens eine der folgenden Methoden aus, die auf der Konfiguration des Tenantauthentifizierungsfaktors basieren.
      • Beliebige verfügbare Methode (Standardwert)
      • Duo-Sicherheit
      • E-Mail-OTP
      • FIDO2
      • SMS-OTP
      • Zeitbasiertes OTP
      • IBM Verify
      • Sprach-OTP
    10. Klicken Sie auf „Regel hinzufügen “.
      Wiederholen Sie diese Schritte für jede Regel, die Sie hinzufügen möchten.
  13. Klicken Sie auf „Entwurf speichern “.
  14. Im Abschnitt „Richtlinienregeln“ können Sie mithilfe der Aufwärtspfeil Symbole und Abwärtspfeil die Reihenfolge festlegen, in der die Regeln ausgewertet werden.
    Die Auswertung erfolgt in absteigender Reihenfolge. Die Standardregel ist immer die letzte Regel in der Folge.
  15. Optional: Bearbeiten Sie den Entwurf, um Ihre Einstellungen zu überprüfen oder Änderungen vorzunehmen, bevor Sie den Entwurf veröffentlichen.
    Siehe „Bearbeiten einer Zugriffsrichtlinie “.
  16. Klicken Sie auf „Veröffentlichen “.

Nächste Schritte

Wenn Sie Änderungen an der Richtlinie vornehmen möchten, klicken Sie auf „Als Entwurf bearbeiten “.