Gestión de reglas de política de acceso adaptativo

Editar en línea

Puede añadir reglas de política cuando crea una política o cuando la edita.

Acerca de esta tarea

La evaluación de reglas de una política en Verify se basa en el orden de evaluación. Cada regla de la política se evalúa en secuencia. La primera regla que se evalúa correctamente identifica la acción que está asociada con la misma. El orden en que se listan las reglas es importante para el resultado de la política. Puede secuenciar las reglas para asegurarse de que la política y sus reglas se pueden evaluar para que cumplan los casos de uso empresarial específicos. Visita 3.e.

Si no coincide ninguna regla, se identifica la acción que está asociada con la regla predeterminada.

La evaluación de reglas se combina con la evaluación de riesgos para determinar la evaluación de la política general.

Procedimiento

  1. Inicie sesión en la IBM® Verify consola de administración como administrador.
  2. Añadir una regla.
    1. Ya sea desde «Añadir política» o editando una política existente, ve al botón «Añadir regla ».
    2. Haz clic en «Añadir regla ».
    3. Entre el nombre de la regla.
    4. Opcional: Añade una descripción para la regla.
    5. Haga clic en Siguiente.
    6. Seleccione el tipo de condición, atributo, operador y valor.
      Tabla 1. Opciones de política

      En la tabla se enumeran los atributos de tipo de condición. Las condiciones se ordenan por acceso adaptativo, contexto OIDC/OAuth, atributos personalizados, atributos de dispositivo y atributos de usuario.
      Tipo de condición Operación Valores de condición
      Acceso adaptativo
      Estos atributos están disponibles si se selecciona el acceso adaptativo para la política.
      Nota: FedRAMP no es compatible con el acceso adaptativo. Por lo tanto, estos y cualquier otro atributo de Trusteer no están disponibles para los clientes de FedRAMP.
      Nuevo dispositivo
      • es
      • No es
      		 Detectado.
      Nueva geolocalización
      • es
      • No es
      		 Detectado.
      Estado de dispositivo
      • es uno de
      • no es ninguno de
      		 Selecciona un valor de condición.
      Nivel de riesgo
      • es uno de
      • no es ninguno de
      		 Especifique un valor de condición.
      Última MFA en el dispositivo
      • menor que
      • mayor que
      		 Número de días desde que se ejecutó la última MFA en el dispositivo.

      El valor puede ser de entre 1 y 740 días. El valor predeterminado es de 90 días.
      Dispositivo de riesgo
      • es
      • No es
      		 Detectado.
      Conexión de riesgo
      • es
      • No es
      		 Detectado.
      País
      • es uno de
      • no es ninguno de
      		 Especifique un valor de condición.
      Ciudad
      • es uno de
      • no es ninguno de
      		 Especifique un valor de condición.
      Proveedor de servicios de Internet
      • contiene cada uno de
      • es uno de
      • no es ninguno de
      		 Especifique un valor de condición.
      Ubicación de red (IP)
      • es uno de
      • no es ninguno de
      		 Especifique un valor de condición.
      Anomalía de comportamiento
      • Es
      • No es
      		 Detectado.
      Contexto de OIDC/OAUTH
      acr_values
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Especifique un valor de condición.
      claims
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Especifique un valor de condición.
      client_type
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Especifique un valor de condición.
      code_challenge_exist
      • es
      • No es
      		 Detectado.
      redirect_uir_scheme
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Especifique un valor de condición.
      request_type
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Especifique un valor de condición.
      response_method
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Especifique un valor de condición.
      response_mode
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Especifique un valor de condición.
      response_type
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Especifique un valor de condición.
      ámbito
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Especifique un valor de condición.
      Atributos personalizados
      Cualquier atributo que añada
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      • el atributo empieza por
      • el atributo finaliza con
      • atributo está presente (sin valor)
      		 Especifique un valor de condición.
      Nota: Las funciones de atributos pueden utilizarse para extraer de la respuesta JSON completa de acceso adaptativo aquellos elementos que no estén incluidos en la condición predefinida de acceso adaptativo. Se pueden extraer como atributos personalizados que se pueden evaluar en las condiciones de las reglas de política. Consulte la sección sobre riesgo adaptativo en a2_manage_rules_ve.dit «Funciones de atributos», ../references/r_attr_functions.html#r_attr_functions__adaptive.
      Atributos de dispositivo
      Nuevo dispositivo
      • Es
      		 Detectado.
      Nota: Cuando el dispositivo es nuevo y la autenticación multifactorial (MFA) no se ha completado en la sesión, la acción de la regla se anula y se aplica siempre la autenticación multifactorial.
      Plataforma de dispositivo
      • es uno de
      • no es ninguno de
      		 Seleccione uno o varias plataformas.
      Conformidad de dispositivo
      • es uno de
      • no es ninguno de
      		 Seleccione uno o varios estados de conformidad.
      Atributos de usuario
      Pertenencia a grupos
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Especifique un grupo o una lista de grupos separados por comas.
      Nota: Los nombres de grupos en formato « Active Directory », separados por comas, deben ir entre comillas dobles. Por ejemplo: “cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.
      realmName
      • contiene cada uno de
      • no es ninguno de
      • es uno de
      		 Proporcione el nombre del dominio.
    7. Opcional: haz clic en «Añadir condición» para añadir más tipos de condiciones, atributos, operaciones y valores a la regla de la política.
    8. Haga clic en Siguiente.
    9. Seleccione la acción para la política desde el menú.
      • Redirigir para obtener contenido adicional
      • Bloquear (Alteración temporal)
      • MFA (Alteración temporal)
      • Permitir (Alteración temporal)
      • Bloquear
      • MFA siempre
      • MFA por sesión
      • Continuar
      • Permitir
      Si selecciona una acción MFA, también debe especificar el método MFA. Puede seleccionar cualquier método disponible o seleccionar uno o más métodos específicos. Las selecciones disponibles dependen de lo que se haya configurado para el arrendatario. Por ejemplo:
      • OTP de correo electrónico
      • FIDO2
      • OTP de SMS
      • Contraseña única basada en tiempo
      • Aplicación IBM Verify
      • Voice OTP
    10. Haz clic en «Añadir regla ».
      El tipo de regla se añade a la lista de reglas de política.
  3. Editar o eliminar una regla.
    1. Pulse la política cuyas reglas quiera cambiar.
    2. EditarHaz clic en «Editar borrador».
    3. En la sección «Reglas de política», haz clic en el Editar icono de la regla que quieras editar.
      Puede cambiar el nombre de regla, añadir una condición, cambiar los códigos de operación o los valores de la condición existente o cambiar la acción para la regla.
    4. Haga clic en Siguiente.
    5. Opcional: En la sección «Reglas de la política», puede utilizar los Flecha arriba iconos y Flecha abajo para establecer el orden en que se evalúan las reglas.
      La evaluación tiene lugar en orden descendente. La regla predeterminada es siempre la última de la secuencia.
    6. Opcional: En la sección «Reglas de la política», puede utilizar el icono Icono de la papelera «Eliminar» para eliminar una regla.
    7. Haz clic en «Guardar borrador ».