Gestion des règles conditionnelles
Gérer les règles d'une nouvelle politique ou lors de la modification d'une politique existante.
A propos de cette tâche
Vous pouvez ajouter des règles conditionnelles lorsque vous créez une stratégie ou lorsque vous éditez une stratégie.
L'évaluation des règles d'une politique dans Verify repose sur l'ordre d'évaluation. La première règle qui est évaluée avec succès est celle qui est appliquée à la demande. L'ordre dans lequel les règles sont répertoriées est important pour le résultat de la stratégie. Vous pouvez définir l'ordre des règles pour vous assurer que la stratégie et ses règles peuvent être évaluées pour répondre à des cas d'utilisation métier spécifiques. Voir 2.d.
Procédure
- Ajoutez une règle.
- Que ce soit via Sécurité > Politiques d'accès > Ajouter une politique ou en modifiant une politique existante, accédez au bouton « Ajouter une nouvelle règle ».
- Cliquez sur « Ajouter une nouvelle règle ».
- Entrez le nom de la règle.
- Facultatif : ajoutez une description pour la règle.
- Cliquez sur Suivant.
- Sélectionnez le type de condition, l'attribut, l'opérateur et la valeur.Lorsque vous sélectionnez une catégorie de condition, les opérations du menu sont filtrées en fonction du type de condition sélectionné.Remarque : pour les règles de premier contact des politiques d'applications natives, les types de conditions suivants sont disponibles.
- Attributs d'emplacement
- Emplacement réseau (IP)
- Pays
- Ville
- Contexte OIDC/OAUTH
- client_type
Tableau 1. Options stratégiques Le tableau répertorie les attributs de type de condition. Les conditions sont triées par contexte OIDC/OAuth, attributs personnalisés, attributs de périphérique, attributs d'emplacement et attributs utilisateur.
Type de condition Opération Valeurs de condition Accès adaptatif Ces attributs sont disponibles si Accès adaptatif est sélectionné pour la stratégie.
Nouvel appareil - Désigne
- N'est pas
Détecté. Nouvelle géolocalisation - Désigne
- N'est pas
Détecté. Appareil à risque - Désigne
- N'est pas
Détecté. Connexion à risque - Désigne
- N'est pas
Détecté. Pays - Un parmi
- Aucun parmi
Indiquez une valeur de condition. Ville - Un parmi
- Aucun parmi
Indiquez une valeur de condition. Fournisseur de services Internet - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. Adresse IP distante - Un parmi
- Aucun parmi
Indiquez une valeur de condition. Anomalie comportementale - Désigne
- N'est pas
Détecté. Contexte OIDC/OAUTH acr_values - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. claims - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. client_type - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. code_challenge_exist - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. redirect_uir_scheme - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. request_type - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. response_method - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. response_mode - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. response_type - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. portée - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez une valeur de condition. Attributs personnalisés Tout attribut que vous avez ajouté - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
- L'attribut commence par
- L'attribut se termine par
- L'attribut est présent (aucune valeur)
Indiquez une valeur de condition. Attributs de l'appareil Nouvel appareil - Désigne
Détecté. Plateforme de l'appareil - Un parmi
- Aucun parmi
Sélectionnez une ou plusieurs plateformes. Conformité de l'appareil - Un parmi
- Aucun parmi
Sélectionnez un ou plusieurs états de conformité. Attributs d'emplacement Ces attributs ne sont pas disponibles si Accès adaptatif est sélectionné pour la stratégie.
Emplacement réseau (IP) - Un parmi
- Aucun parmi
Indiquez une adresse IP ou une liste d'adresses IP séparées par une virgule, une plage d'IP ou une adresse IP avec un sous-réseau. Historique des emplacements - Désigne
- N'est pas
Vérifié. Pays - Un parmi
- Aucun parmi
Indiquez un pays ou une liste séparée par des virgules de codes pays à trois lettres en fonction de la norme ISO suivante. Voir https://en.wikipedia.org/wiki/ISO_3166-1_alpha-3. Ville - Un parmi
- Aucun parmi
Indiquez une valeur de condition. Attributs utilisateur Appartenance au groupe - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez un groupe ou une liste de groupes séparés par une virgule. Remarque : les noms de groupes d' Active Directory s séparés par des virgules doivent être placés entre guillemets. Par exemple,“cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.realmName - Les attributs doivent contenir une ou plusieurs valeurs.
- Les attributs ne doivent contenir aucune valeur.
- Les attributs doivent contenir au moins une valeur.
Indiquez le nom du domaine. - Attributs d'emplacement
- Facultatif : cliquez sur « Ajouter une condition » pour ajouter d'autres types de conditions et opérations à la règle de stratégie.
- Sélectionnez l'action à appliquer pour la stratégie dans le menu.
- Rediriger vers une page pour obtenir plus d'informations
- Bloquer (substitution)
- Authentification multi-facteur (substitution)
- Autoriser (substitution)
- Bloquer et rediriger
- Bloc
- Toujours l'authentification multi-facteur
- Authentification multi-facteur par session
- Continuer
- Autoriser
Remarque : pour les politiques relatives aux applications natives, seules les actions « Bloquer » et « Demander une confirmation » sont disponibles. Si vous sélectionnez Demander une authentification, indiquez une ou plusieurs méthodes d'authentification.- FIDO2
- Mot de passe
- code Quick Response
- Cliquez sur Enregistrer.Le type de règle est ajouté à la liste des règles conditionnelles.
- Editez ou supprimez une règle.
- Cliquez sur
pour ouvrir la stratégie dont vous souhaitez modifier les règles. - Dans la section « Règles de stratégie », cliquez sur l'icône
correspondant à la règle que vous souhaitez modifier.Vous pouvez modifier le nom de la règle, ajouter une condition, modifier les codes d'opérations ou valeurs de condition existants, ou modifier l'action de la règle. - Cliquez sur Enregistrer.
- Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser l'icône
du menu déroulant pour définir l'ordre dans lequel les règles sont évaluées.L'évaluation est effectuée dans l'ordre décroissant. La règle par défaut est toujours la dernière de la séquence. - Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser l'icône
du menu déroulant pour supprimer une règle. - Cliquez sur Enregistrer.
- Cliquez sur