Création d'une stratégie d'accès
Définissez la politique d'accès et les règles que vous souhaitez appliquer aux applications.
Procédure
- Sélectionnez Sécurité > Politiques d'accès.
- Cliquez sur .
- Indiquez le nom de la stratégie.
- Sélectionnez un type de stratégie.
- Règle de connexion fédérée
- Ces stratégies définissent les règles qui sont évaluées après l'authentification d'utilisateur. Les règles de premier contact ne sont pas disponibles pour les stratégies de connexion fédérées.
- Stratégie d'application Web native
- Une politique relative aux applications web natives comprend à la fois des règles pré-authentification et post-authentification, adaptées aux différentes phases du processus d'authentification.
Le premier facteur de la stratégie d'application Web native, la pré-authentification, les règles ont des actions de résultat différentes, qu'il s'agisse de demande d'authentification ou de séquence d'opérations. Elles possèdent un ensemble limité d'attributs tels que l'adresse IP ou l'emplacement, car l'utilisateur réel est inconnu. Les règles d'application web native à deux facteurs et de post-authentification sont identiques aux règles de connexion fédérée en termes d'attributs et d'actions disponibles.
- Stratégie d'application mobile native
- Une politique relative aux applications mobiles natives comprend des règles applicables avant et après l'authentification, correspondant aux différentes phases de ce processus.
Les règles d'application mobile native de premier facteur, la pré-authentification, présentent des actions de résultat différentes, à savoir demande d'authentification ou blocage. Elles possèdent un ensemble limité d'attributs tels que le contexte OIDC/OAuth ou les attributs d'emplacement, car l'utilisateur réel est inconnu. Les règles mobiles natives à deux facteurs et la post-authentification sont identiques aux règles de connexion fédérée en termes d'attributs et d'actions disponibles.
- Stratégie d'application personnalisée native
- Une politique d'application native personnalisée comprend à la fois des règles pré-authentification et post-authentification pour les différentes phases de l'authentification. Cependant, elle diffère des stratégies Web et mobiles natives car elle ne fournit pas l'option d'accès adaptatif.
Les règles d'application personnalisées natives de premier facteur, préalables à l'authentification, présentent des actions de résultat différentes, à savoir demande d'authentification ou blocage. Elles possèdent un ensemble limité d'attributs tels que le contexte OIDC/OAuth ou les attributs d'emplacement, car l'utilisateur réel est inconnu. Les règles personnalisées natives à deux facteurs et la post-authentification sont identiques aux règles de connexion fédérée en termes d'attributs et d'actions disponibles.
Remarque : si vous sélectionnez la stratégie « Application native personnalisée », l'accès adaptatif n'est pas disponible.
- Cliquez sur « Créer une stratégie ».Un brouillon de stratégie s'affiche. Le panneau « Détails » affiche l'identifiant, la date de création, le créateur, la date de dernière modification et la version.
- Facultatif : cliquez sur
l'icône pour modifier les paramètres de base.- Modifiez le nom de la règle.
- Ajoutez une description qui fournit des informations sur la règle.
- Cliquez sur Enregistrer.
- Pour des stratégies d'application natives, créez les règles de premier contact.Pour plus d'informations sur les règles, consultez la section « Gestion des règles de stratégie ».
- Cliquez sur « Ajouter une règle ».
- Spécifiez un nom pour la règle.
- Facultatif : ajoutez une description.
- Cliquez sur Suivant.
- Sélectionnez le type de condition, l'attribut, l'opérateur et la valeur de condition.
- Facultatif : cliquez sur « Ajouter une condition » pour ajouter d'autres types de conditions, attributs, opérateurs et valeurs à la règle de stratégie.
- Cliquez sur Suivant.
- Choisissez une option de premier contact : « Challenge » ou « Block ».
- Dans le champ « Challenge », indiquez la méthode d'authentification multifactorielle (MFA) à utiliser pour l'authentification.
- Cliquez sur « Ajouter une règle ».Répétez ces étapes pour chaque règle que vous souhaitez ajouter.
- Indiquez si vous souhaitez activer l'accès adaptatif. Pour plus d'informations sur l'accès adaptatif, consultez la section « Gestion de l'accès adaptatif ».Remarque :
- Cette option n'est pas disponible pour les stratégies d'application personnalisée native.
- FedRAMP ne prend pas en charge l'accès adaptatif. Par conséquent, cette option n'est pas disponible pour les clients d' FedRAMP.
- Sélectionnez l'action à entreprendre pour chaque niveau de risque. Pour les actions MFA, vous pouvez choisir une ou plusieurs des méthodes suivantes, en fonction de la configuration des facteurs d'authentification du tenant.
- Toute méthode disponible (par défaut)
- Mot de passe à utilisation unique envoyé par courrier électronique
- FIDO2
- Mot de passe à utilisation unique envoyé par SMS
- Mot de passe à utilisation unique limitée dans le temps
- IBM Verify
- Mot de passe à utilisation unique envoyé par message vocal
- Duo Security
- Fournisseur personnalisé
Remarque : pour les utilisateurs, le terme « passkey » est utilisé à la place de « FIDO » afin d'offrir une expérience plus conviviale. - Indiquez si vous souhaitez envoyer des notifications à l'utilisateur.
- Cliquez sur Enregistrer.
- Indiquez si vous souhaitez exiger une réauthentification multifacteur.
- Cliquez sur
l'icône pour modifier les paramètres de réauthentification. - Cochez la case « Exiger une réauthentification à plusieurs facteurs ».
- Sélectionnez la durée pendant laquelle l'authentification reste valable. A l'expiration de ce délai, l'utilisateur doit s'authentifier à nouveau. Le paramètre par défaut est 8 heures.
- Vous pouvez indiquer si vous souhaitez que la réauthentification s'applique à chaque dispositif de l'utilisateur.
- Sélectionnez les méthodes de réauthentification.Pour les méthodes MFA, vous pouvez choisir d'utiliser n'importe quelle méthode disponible ou sélectionner une ou plusieurs des méthodes suivantes, en fonction de la configuration des facteurs d'authentification du tenant.
- Toute méthode disponible (par défaut)
- Mot de passe à utilisation unique envoyé par courrier électronique
- FIDO2
- Mot de passe à utilisation unique envoyé par SMS
- Mot de passe à utilisation unique limitée dans le temps
- IBM Verify
- Mot de passe à utilisation unique envoyé par message vocal
- Duo Security
- Fournisseur personnalisé
- Cliquez sur Enregistrer.
- Cliquez sur
- Ajouter des intégrations externes.
- Cliquez sur « Ajouter une intégration ».
- Sélectionnez l'un de vos webhooks de politique d'accès en temps réel parmi les intégrations disponibles.
- Facultatif : rendez-vous sur la page « Webhooks en temps réel » pour créer une politique d'accès en temps réel.
- Cliquez sur Enregistrer.
Vous pouvez modifier la condition du webhook que vous avez sélectionné dans les règles de stratégie (SSO). - Définir les règles de stratégie post-authentification.Pour plus d'informations sur les règles, consultez la section « Gestion des règles de stratégie ».
- Cliquez sur « Ajouter une règle ».
- Spécifiez un nom pour la règle.
- Facultatif : ajoutez une description pour la règle.
- Cliquez sur Suivant.
- Sélectionnez le type de condition, l'attribut, l'opérateur et la valeur de condition.
- Facultatif : cliquez sur « Ajouter une condition » pour ajouter d'autres types de conditions, attributs, opérateurs et valeurs à la règle de stratégie.
- Cliquez sur Suivant.
- Sélectionnez l'action à entreprendre lorsque les conditions de la règle sont remplies.
- Rediriger vers une page pour obtenir plus d'informations
- Bloquer (substitution)
- Authentification multi-facteur (substitution)
- Autoriser (substitution)
- Bloc
- Toujours l'authentification multi-facteur
- Authentification multi-facteur par session
- Continuer
- Autoriser
Remarque : l'action « Continuer » n'est disponible que lorsque l'accès adaptatif est activé. - Si vous avez sélectionné une option MFA, spécifiez la méthode d'authentification multi-facteur.Utilisez l'une des méthodes disponibles ou choisissez une ou plusieurs des méthodes suivantes basées sur la configuration du facteur d'authentification du titulaire.
- Toute méthode disponible (par défaut)
- Duo Security
- Mot de passe à utilisation unique envoyé par courrier électronique
- FIDO2
- Mot de passe à utilisation unique envoyé par SMS
- Mot de passe à utilisation unique limitée dans le temps
- IBM Verify
- Mot de passe à utilisation unique envoyé par message vocal
- Cliquez sur « Ajouter une règle ».Répétez ces étapes pour chaque règle que vous souhaitez ajouter.
- Cliquez sur « Enregistrer le brouillon ».
- Dans la section « Règles de stratégie », vous pouvez utiliser les
icônes et
pour définir l'ordre dans lequel les règles sont évaluées.
L'évaluation est effectuée dans l'ordre décroissant. La règle par défaut est toujours la dernière de la séquence. - Facultatif : modifiez le brouillon pour vérifier vos paramètres ou apporter des modifications avant de le publier.
- Cliquez sur « Publier ».