Gestion des règles conditionnelles d'accès adaptatif
Vous pouvez ajouter des règles conditionnelles lorsque vous créez une stratégie ou lorsque vous éditez une stratégie.
A propos de cette tâche
L'évaluation des règles d'une politique dans Verify repose sur l'ordre d'évaluation. Chaque règle de la stratégie est évaluée selon une séquence. La première règle qui est évaluée avec succès identifie l'action qui lui est associée. L'ordre dans lequel les règles sont répertoriées est important pour le résultat de la stratégie. Vous pouvez définir l'ordre des règles pour vous assurer que la stratégie et ses règles peuvent être évaluées pour répondre à des cas d'utilisation métier spécifiques. Voir 3.e.
Si aucune règle ne correspond, l'action associée à la règle par défaut est identifiée.
L'évaluation des règles est combinée à l'évaluation des risques pour déterminer l'évaluation de stratégie globale.
Procédure
- Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur.
- Ajoutez une règle.
- Que ce soit via l'option « Ajouter une stratégie » ou en modifiant une stratégie existante, accédez au bouton « Ajouter une règle ».
- Cliquez sur « Ajouter une règle ».
- Entrez le nom de la règle.
- Facultatif : ajoutez une description pour la règle.
- Cliquez sur Suivant.
- Sélectionnez le type de condition, l'attribut, l'opérateur et la valeur.
Tableau 1. Options stratégiques Le tableau répertorie les attributs de type de condition. Les conditions sont triées par accès adaptatif, contexte OIDC/OAuth, attributs personnalisés, attributs d'unité et attributs utilisateur.
Type de condition Opération Valeurs de condition Accès adaptatif Ces attributs sont disponibles si Accès adaptatif est sélectionné pour la stratégie.Remarque : FedRAMP ne prend pas en charge l'accès adaptatif. Par conséquent, ces fonctionnalités ainsi que toutes les autres fonctionnalités de Trusteer ne sont pas disponibles pour les clients d' FedRAMP.Nouvel appareil - est
- n'est pas
Détecté. Nouvelle géolocalisation - est
- n'est pas
Détecté. Statut de l'appareil - est l'un des
- n'est pas l'un des
Sélectionnez une valeur de condition. Niveau de risque - est l'un des
- n'est pas l'un des
Indiquez une valeur de condition. Dernière authentification MFA sur l'appareil - inférieur à
- supérieur à
Nombre de jours depuis qu'une authentification MFA a été effectuée sur l'appareil. La valeur peut être comprise entre 1 et 740 jours. Le paramètre par défaut est de 90 jours.
Appareil à risque - est
- n'est pas
Détecté. Connexion à risque - est
- n'est pas
Détecté. Pays - est l'un des
- n'est pas l'un des
Indiquez une valeur de condition. Ville - est l'un des
- n'est pas l'un des
Indiquez une valeur de condition. Fournisseur de services Internet - contient chacun des
- est l'un des
- n'est pas l'un des
Indiquez une valeur de condition. Emplacement réseau (IP) - est l'un des
- n'est pas l'un des
Indiquez une valeur de condition. Anomalie comportementale - Désigne
- N'est pas
Détecté. Contexte OIDC/OAUTH acr_values - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. claims - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. client_type - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. code_challenge_exist - est
- n'est pas
Détecté. redirect_uir_scheme - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. request_type - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. response_method - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. response_mode - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. response_type - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. portée - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. Attributs personnalisés Tout attribut que vous avez ajouté - contient chacun des
- n'est pas l'un des
- est l'un des
- L'attribut commence par
- L'attribut se termine par
- l'attribut est présent (aucune valeur)
Indiquez une valeur de condition. Remarque : les fonctions d'attribut permettent d'extraire, à partir de la réponse JSON complète de l'accès adaptatif, les éléments qui ne figurent pas dans la condition prédéfinie de l'accès adaptatif. Ils peuvent être extraits sous forme d'attributs personnalisés pouvant être évalués dans les conditions des règles de stratégie. Consultez la section consacrée au risque adaptatif dans « a2_manage_rules_ve.dit » (Fonctions d’attribut), sous « Risque adaptatif ».Attributs de l'appareil Nouvel appareil - Désigne
Détecté. Remarque : lorsque l'appareil est neuf et que l'authentification multifactorielle (MFA) n'a pas encore été configurée pour la session, l'action de la règle est remplacée par « MFA toujours ».Plateforme de l'appareil - est l'un des
- n'est pas l'un des
Sélectionnez une ou plusieurs plateformes. Conformité de l'appareil - est l'un des
- n'est pas l'un des
Sélectionnez un ou plusieurs états de conformité. Attributs utilisateur Appartenance au groupe - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez un groupe ou une liste de groupes séparés par une virgule. Remarque : les noms de groupes d' Active Directory s séparés par des virgules doivent être placés entre guillemets. Par exemple,“cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.realmName - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez le nom du domaine. - Facultatif : cliquez sur « Ajouter une condition » pour ajouter d'autres types de conditions, attributs, opérations et valeurs à la règle de stratégie.
- Cliquez sur Suivant.
- Sélectionnez l'action à appliquer pour la stratégie dans le menu.
- Rediriger vers le contenu supplémentaire
- Bloquer (substitution)
- Authentification multi-facteur (substitution)
- Autoriser (substitution)
- Bloc
- Toujours l'authentification multi-facteur
- Authentification multi-facteur par session
- Continuer
- Autoriser
- Mot de passe à utilisation unique envoyé par courrier électronique
- FIDO2
- Mot de passe à utilisation unique envoyé par SMS
- Mot de passe à utilisation unique limitée dans le temps
- Application IBM Verify
- Mot de passe à utilisation unique envoyé par message vocal
- Cliquez sur « Ajouter une règle ».Le type de règle est ajouté à la liste des règles conditionnelles.
- Editez ou supprimez une règle.
- Cliquez sur la stratégie pour laquelle vous souhaitez modifier les règles.
- Cliquez sur « Modifier le brouillon
». - Dans la section « Règles de stratégie », cliquez sur
l'icône correspondant à la règle que vous souhaitez modifier.Vous pouvez modifier le nom de la règle, ajouter une condition, modifier les codes d'opérations ou valeurs de condition existants, ou modifier l'action de la règle. - Cliquez sur Suivant.
- Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser les
icônes et
pour définir l'ordre dans lequel les règles sont évaluées.
L'évaluation est effectuée dans l'ordre décroissant. La règle par défaut est toujours la dernière de la séquence. - Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser l'icône
« Supprimer » pour supprimer une règle. - Cliquez sur « Enregistrer le brouillon ».