Gestion des règles conditionnelles

Gérer les règles d'une nouvelle politique ou lors de la modification d'une politique existante.

A propos de cette tâche

Vous pouvez ajouter des règles conditionnelles lorsque vous créez une stratégie ou lorsque vous éditez une stratégie.

L'évaluation des règles d'une politique dans Verify repose sur l'ordre d'évaluation. La première règle qui est évaluée avec succès est celle qui est appliquée à la demande. L'ordre dans lequel les règles sont répertoriées est important pour le résultat de la stratégie. Vous pouvez définir l'ordre des règles pour vous assurer que la stratégie et ses règles peuvent être évaluées pour répondre à des cas d'utilisation métier spécifiques. Voir 2.d.

Procédure

  1. Ajoutez une règle.
    1. Que ce soit via Sécurité > Politiques d'accès > Ajouter une politique ou en modifiant une politique existante, accédez au bouton « Ajouter une nouvelle règle ».
    2. Cliquez sur « Ajouter une nouvelle règle ».
    3. Entrez le nom de la règle.
    4. Facultatif : ajoutez une description pour la règle.
    5. Cliquez sur Suivant.
    6. Sélectionnez le type de condition, l'attribut, l'opérateur et la valeur.
      Lorsque vous sélectionnez une catégorie de condition, les opérations du menu sont filtrées en fonction du type de condition sélectionné.
      Remarque : pour les règles de premier contact des politiques d'applications natives, les types de conditions suivants sont disponibles.
      • Attributs d'emplacement
        • Emplacement réseau (IP)
        • Pays
        • Ville
      • Contexte OIDC/OAUTH
        • client_type
      Tableau 1. Options stratégiques

      Le tableau répertorie les attributs de type de condition. Les conditions sont triées par contexte OIDC/OAuth, attributs personnalisés, attributs de périphérique, attributs d'emplacement et attributs utilisateur.

      Type de condition Opération Valeurs de condition
      Accès adaptatif

      Ces attributs sont disponibles si Accès adaptatif est sélectionné pour la stratégie.

      Nouvel appareil
      • Désigne
      • N'est pas
      Détecté.
      Nouvelle géolocalisation
      • Désigne
      • N'est pas
      Détecté.
      Appareil à risque
      • Désigne
      • N'est pas
      Détecté.
      Connexion à risque
      • Désigne
      • N'est pas
      Détecté.
      Pays
      • Un parmi
      • Aucun parmi
      Indiquez une valeur de condition.
      Ville
      • Un parmi
      • Aucun parmi
      Indiquez une valeur de condition.
      Fournisseur de services Internet
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      Adresse IP distante
      • Un parmi
      • Aucun parmi
      Indiquez une valeur de condition.
      Anomalie comportementale
      • Désigne
      • N'est pas
      Détecté.
      Contexte OIDC/OAUTH
      acr_values
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      claims
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      client_type
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      code_challenge_exist
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      redirect_uir_scheme
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      request_type
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      response_method
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      response_mode
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      response_type
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      portée
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez une valeur de condition.
      Attributs personnalisés
      Tout attribut que vous avez ajouté
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      • L'attribut commence par
      • L'attribut se termine par
      • L'attribut est présent (aucune valeur)
      Indiquez une valeur de condition.
      Attributs de l'appareil
      Nouvel appareil
      • Désigne
      Détecté.
      Plateforme de l'appareil
      • Un parmi
      • Aucun parmi
      Sélectionnez une ou plusieurs plateformes.
      Conformité de l'appareil
      • Un parmi
      • Aucun parmi
      Sélectionnez un ou plusieurs états de conformité.
      Attributs d'emplacement

      Ces attributs ne sont pas disponibles si Accès adaptatif est sélectionné pour la stratégie.

      Emplacement réseau (IP)
      • Un parmi
      • Aucun parmi
      Indiquez une adresse IP ou une liste d'adresses IP séparées par une virgule, une plage d'IP ou une adresse IP avec un sous-réseau.
      Historique des emplacements
      • Désigne
      • N'est pas
      Vérifié.
      Pays
      • Un parmi
      • Aucun parmi
      Indiquez un pays ou une liste séparée par des virgules de codes pays à trois lettres en fonction de la norme ISO suivante. Voir https://en.wikipedia.org/wiki/ISO_3166-1_alpha-3.
      Ville
      • Un parmi
      • Aucun parmi
      Indiquez une valeur de condition.
      Attributs utilisateur
      Appartenance au groupe
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez un groupe ou une liste de groupes séparés par une virgule.
      Remarque : les noms de groupes d' Active Directory s séparés par des virgules doivent être placés entre guillemets. Par exemple, “cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.
      realmName
      • Les attributs doivent contenir une ou plusieurs valeurs.
      • Les attributs ne doivent contenir aucune valeur.
      • Les attributs doivent contenir au moins une valeur.
      Indiquez le nom du domaine.
    7. Facultatif : cliquez sur « Ajouter une condition » pour ajouter d'autres types de conditions et opérations à la règle de stratégie.
    8. Sélectionnez l'action à appliquer pour la stratégie dans le menu.
      • Rediriger vers une page pour obtenir plus d'informations
      • Bloquer (substitution)
      • Authentification multi-facteur (substitution)
      • Autoriser (substitution)
      • Bloquer et rediriger
      • Bloc
      • Toujours l'authentification multi-facteur
      • Authentification multi-facteur par session
      • Continuer
      • Autoriser
      Remarque : pour les politiques relatives aux applications natives, seules les actions « Bloquer » et « Demander une confirmation » sont disponibles. Si vous sélectionnez Demander une authentification, indiquez une ou plusieurs méthodes d'authentification.
      • FIDO2
      • Mot de passe
      • code Quick Response
    9. Cliquez sur Enregistrer.
      Le type de règle est ajouté à la liste des règles conditionnelles.
  2. Editez ou supprimez une règle.
    1. Cliquez sur Editer pour ouvrir la stratégie dont vous souhaitez modifier les règles.
    2. Dans la section « Règles de stratégie », cliquez sur l'icône Editer correspondant à la règle que vous souhaitez modifier.
      Vous pouvez modifier le nom de la règle, ajouter une condition, modifier les codes d'opérations ou valeurs de condition existants, ou modifier l'action de la règle.
    3. Cliquez sur Enregistrer.
    4. Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser l'icône menu du menu déroulant pour définir l'ordre dans lequel les règles sont évaluées.
      L'évaluation est effectuée dans l'ordre décroissant. La règle par défaut est toujours la dernière de la séquence.
    5. Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser l'icône menu du menu déroulant pour supprimer une règle.
    6. Cliquez sur Enregistrer.