Gestion des règles conditionnelles d'accès adaptatif

Vous pouvez ajouter des règles conditionnelles lorsque vous créez une stratégie ou lorsque vous éditez une stratégie.

A propos de cette tâche

L'évaluation des règles d'une politique dans Verify repose sur l'ordre d'évaluation. Chaque règle de la stratégie est évaluée selon une séquence. La première règle qui est évaluée avec succès identifie l'action qui lui est associée. L'ordre dans lequel les règles sont répertoriées est important pour le résultat de la stratégie. Vous pouvez définir l'ordre des règles pour vous assurer que la stratégie et ses règles peuvent être évaluées pour répondre à des cas d'utilisation métier spécifiques. Voir 3.e.

Si aucune règle ne correspond, l'action associée à la règle par défaut est identifiée.

L'évaluation des règles est combinée à l'évaluation des risques pour déterminer l'évaluation de stratégie globale.

Procédure

  1. Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur.
  2. Ajoutez une règle.
    1. Que ce soit via l'option « Ajouter une stratégie » ou en modifiant une stratégie existante, accédez au bouton « Ajouter une règle ».
    2. Cliquez sur « Ajouter une règle ».
    3. Entrez le nom de la règle.
    4. Facultatif : ajoutez une description pour la règle.
    5. Cliquez sur Suivant.
    6. Sélectionnez le type de condition, l'attribut, l'opérateur et la valeur.
      Tableau 1. Options stratégiques

      Le tableau répertorie les attributs de type de condition. Les conditions sont triées par accès adaptatif, contexte OIDC/OAuth, attributs personnalisés, attributs d'unité et attributs utilisateur.

      Type de condition Opération Valeurs de condition
      Accès adaptatif
      Ces attributs sont disponibles si Accès adaptatif est sélectionné pour la stratégie.
      Remarque : FedRAMP ne prend pas en charge l'accès adaptatif. Par conséquent, ces fonctionnalités ainsi que toutes les autres fonctionnalités de Trusteer ne sont pas disponibles pour les clients d' FedRAMP.
      Nouvel appareil
      • est
      • n'est pas
      Détecté.
      Nouvelle géolocalisation
      • est
      • n'est pas
      Détecté.
      Statut de l'appareil
      • est l'un des
      • n'est pas l'un des
      Sélectionnez une valeur de condition.
      Niveau de risque
      • est l'un des
      • n'est pas l'un des
      Indiquez une valeur de condition.
      Dernière authentification MFA sur l'appareil
      • inférieur à
      • supérieur à
      Nombre de jours depuis qu'une authentification MFA a été effectuée sur l'appareil.

      La valeur peut être comprise entre 1 et 740 jours. Le paramètre par défaut est de 90 jours.

      Appareil à risque
      • est
      • n'est pas
      Détecté.
      Connexion à risque
      • est
      • n'est pas
      Détecté.
      Pays
      • est l'un des
      • n'est pas l'un des
      Indiquez une valeur de condition.
      Ville
      • est l'un des
      • n'est pas l'un des
      Indiquez une valeur de condition.
      Fournisseur de services Internet
      • contient chacun des
      • est l'un des
      • n'est pas l'un des
      Indiquez une valeur de condition.
      Emplacement réseau (IP)
      • est l'un des
      • n'est pas l'un des
      Indiquez une valeur de condition.
      Anomalie comportementale
      • Désigne
      • N'est pas
      Détecté.
      Contexte OIDC/OAUTH
      acr_values
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      claims
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      client_type
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      code_challenge_exist
      • est
      • n'est pas
      Détecté.
      redirect_uir_scheme
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      request_type
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      response_method
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      response_mode
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      response_type
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      portée
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      Attributs personnalisés
      Tout attribut que vous avez ajouté
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      • L'attribut commence par
      • L'attribut se termine par
      • l'attribut est présent (aucune valeur)
      Indiquez une valeur de condition.
      Remarque : les fonctions d'attribut permettent d'extraire, à partir de la réponse JSON complète de l'accès adaptatif, les éléments qui ne figurent pas dans la condition prédéfinie de l'accès adaptatif. Ils peuvent être extraits sous forme d'attributs personnalisés pouvant être évalués dans les conditions des règles de stratégie. Consultez la section consacrée au risque adaptatif dans « a2_manage_rules_ve.dit » (Fonctions d’attribut), sous « Risque adaptatif ».
      Attributs de l'appareil
      Nouvel appareil
      • Désigne
      Détecté.
      Remarque : lorsque l'appareil est neuf et que l'authentification multifactorielle (MFA) n'a pas encore été configurée pour la session, l'action de la règle est remplacée par « MFA toujours ».
      Plateforme de l'appareil
      • est l'un des
      • n'est pas l'un des
      Sélectionnez une ou plusieurs plateformes.
      Conformité de l'appareil
      • est l'un des
      • n'est pas l'un des
      Sélectionnez un ou plusieurs états de conformité.
      Attributs utilisateur
      Appartenance au groupe
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez un groupe ou une liste de groupes séparés par une virgule.
      Remarque : les noms de groupes d' Active Directory s séparés par des virgules doivent être placés entre guillemets. Par exemple, “cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.
      realmName
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez le nom du domaine.
    7. Facultatif : cliquez sur « Ajouter une condition » pour ajouter d'autres types de conditions, attributs, opérations et valeurs à la règle de stratégie.
    8. Cliquez sur Suivant.
    9. Sélectionnez l'action à appliquer pour la stratégie dans le menu.
      • Rediriger vers le contenu supplémentaire
      • Bloquer (substitution)
      • Authentification multi-facteur (substitution)
      • Autoriser (substitution)
      • Bloc
      • Toujours l'authentification multi-facteur
      • Authentification multi-facteur par session
      • Continuer
      • Autoriser
      Si vous sélectionnez une action MFA, vous devez également spécifier la méthode MFA. Vous pouvez sélectionner n'importe quelle méthode disponible ou sélectionner une ou plusieurs méthodes spécifiques. Les sélections disponibles dépendent de ce qui est configuré pour votre locataire. Par exemple :
      • Mot de passe à utilisation unique envoyé par courrier électronique
      • FIDO2
      • Mot de passe à utilisation unique envoyé par SMS
      • Mot de passe à utilisation unique limitée dans le temps
      • Application IBM Verify
      • Mot de passe à utilisation unique envoyé par message vocal
    10. Cliquez sur « Ajouter une règle ».
      Le type de règle est ajouté à la liste des règles conditionnelles.
  3. Editez ou supprimez une règle.
    1. Cliquez sur la stratégie pour laquelle vous souhaitez modifier les règles.
    2. Cliquez sur « Modifier le brouillon Editer».
    3. Dans la section « Règles de stratégie », cliquez sur Editer l'icône correspondant à la règle que vous souhaitez modifier.
      Vous pouvez modifier le nom de la règle, ajouter une condition, modifier les codes d'opérations ou valeurs de condition existants, ou modifier l'action de la règle.
    4. Cliquez sur Suivant.
    5. Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser les Flèche vers le haut icônes et Flèche vers le bas pour définir l'ordre dans lequel les règles sont évaluées.
      L'évaluation est effectuée dans l'ordre décroissant. La règle par défaut est toujours la dernière de la séquence.
    6. Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser l'icône Icône de poubelle « Supprimer » pour supprimer une règle.
    7. Cliquez sur « Enregistrer le brouillon ».