Gestion des règles conditionnelles
Vous pouvez ajouter des règles conditionnelles lorsque vous créez une stratégie ou lorsque vous éditez une stratégie.
A propos de cette tâche
L'évaluation des règles d'une politique dans Verify repose sur l'ordre d'évaluation. La première règle qui est évaluée avec succès est celle qui est appliquée à la demande. L'ordre dans lequel les règles sont répertoriées est important pour le résultat de la stratégie. Vous pouvez définir l'ordre des règles pour vous assurer que la stratégie et ses règles peuvent être évaluées pour répondre à des cas d'utilisation métier spécifiques. Voir 2.e.
Procédure
- Ajoutez une règle.
- Que ce soit via l'option « Ajouter une stratégie » ou en modifiant une stratégie existante, accédez au bouton « Ajouter une règle ».
- Cliquez sur « Ajouter une règle ».
- Entrez le nom de la règle.
- Facultatif : ajoutez une description pour la règle.
- Cliquez sur Suivant.
- Sélectionnez le type de condition, l'attribut, l'opérateur et la valeur.Lorsque vous sélectionnez un type de condition, les opérateurs du menu sont filtrés en fonction du type de condition sélectionné.Remarque : pour les règles de contact des politiques d'applications natives, les types de conditions suivants sont disponibles.
- Attributs d'emplacement
- Emplacement réseau (IP)
- Pays
- Ville
- Contexte OIDC/OAUTH
- client_type
Tableau 1. Options stratégiques Le tableau répertorie les attributs de type de condition. Les conditions sont triées par accès adaptatif, contexte OIDC/OAuth, attributs personnalisés, attributs d'appareil, attributs d'emplacement et attributs utilisateur.
Type de condition Opération Valeurs de condition Accès adaptatif Ces attributs sont disponibles si Accès adaptatif est sélectionné pour la stratégie.Remarque : FedRAMP ne prend pas en charge l'accès adaptatif. Par conséquent, ces fonctionnalités ainsi que toutes les autres fonctionnalités de Trusteer ne sont pas disponibles pour les clients d' FedRAMP.Nouvel appareil - Désigne
- N'est pas
Détecté. Nouvelle géolocalisation - Désigne
- N'est pas
Détecté. Statut de l'appareil - est l'un des
- n'est pas l'un des
Sélectionnez une valeur de condition. Niveau de risque - est l'un des
- n'est pas l'un des
Sélectionnez une valeur de condition. Dernière authentification MFA sur l'appareil - Inférieur à
- Supérieur à
Nombre de jours depuis qu'une authentification MFA a été effectuée sur l'appareil. La valeur peut être comprise entre 1 et 740 jours. Le paramètre par défaut est de 90 jours.
Appareil à risque - Désigne
- N'est pas
Détecté. Connexion à risque - Désigne
- N'est pas
Détecté. Pays - est l'un des
- n'est pas l'un des
Indiquez une valeur de condition. Ville - est l'un des
- n'est pas l'un des
Indiquez une valeur de condition. Fournisseur de services Internet - contient chacun des
- est l'un des
- n'est pas l'un des
Indiquez une valeur de condition. Emplacement réseau (IP) - est l'un des
- n'est pas l'un des
Indiquez une valeur de condition. Anomalie comportementale - Désigne
- N'est pas
Détecté. Contexte OIDC/OAUTH acr_values - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. claims - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. client_type - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. code_challenge_exist - Désigne
- N'est pas
Détecté. redirect_uri_scheme - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. request_type - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. response_method - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. response_mode - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. response_type - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. portée - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez une valeur de condition. Attributs personnalisés Tout attribut que vous avez ajouté - contient chacun des
- n'est pas l'un des
- est l'un des
- L'attribut commence par
- L'attribut se termine par
- L'attribut est présent (aucune valeur)
Indiquez une valeur de condition. Attributs de l'appareil Nouvel appareil - Désigne
Détecté. Remarque : lorsque l'appareil est neuf et que l'authentification multifactorielle (MFA) n'a pas encore été configurée pour la session, l'action de la règle est remplacée par « MFA toujours ».Plateforme de l'appareil - est l'un des
- n'est pas l'un des
Sélectionnez une ou plusieurs plateformes. Conformité de l'appareil - est l'un des
- n'est pas l'un des
Sélectionnez un ou plusieurs états de conformité. Attributs d'emplacement Ces attributs ne sont pas disponibles si Accès adaptatif est sélectionné pour la stratégie.
Emplacement réseau (IP) - est l'un des
- n'est pas l'un des
Indiquez une adresse IP ou une liste d'adresses IP séparées par une virgule, une plage d'IP ou une adresse IP avec un sous-réseau. Historique des emplacements - Désigne
- N'est pas
Vérifié. Pays - est l'un des
- n'est pas l'un des
Indiquez un pays ou une liste séparée par des virgules de codes pays à trois lettres en fonction de la norme ISO suivante. Voir https://en.wikipedia.org/wiki/ISO_3166-1_alpha-3. Ville - est l'un des
- n'est pas l'un des
Indiquez une valeur de condition. Attributs utilisateur Appartenance au groupe - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez un groupe ou une liste de groupes séparés par une virgule. Remarque : les noms de groupes d' Active Directory s séparés par des virgules doivent être placés entre guillemets. Par exemple,“cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.realmName - contient chacun des
- n'est pas l'un des
- est l'un des
Indiquez le nom du domaine. - Attributs d'emplacement
- Facultatif : sélectionnez « Ajouter une condition » pour ajouter d'autres types de conditions, attributs, opérations et valeurs à la règle de stratégie.
- Cliquez sur Suivant.
- Sélectionnez l'action à appliquer pour la stratégie dans le menu.
- Rediriger vers le contenu supplémentaire
- Bloquer (substitution)
- Authentification multi-facteur (substitution)
- Autoriser (substitution)
- Bloc
- Toujours l'authentification multi-facteur
- Authentification multi-facteur par session
- Autoriser
- Mot de passe à utilisation unique envoyé par courrier électronique
- FIDO2
- Mot de passe à utilisation unique envoyé par SMS
- Mot de passe à utilisation unique limitée dans le temps
- Application IBM Verify
- Mot de passe à utilisation unique envoyé par message vocal
- Sélectionnez « Ajouter une règle ».Le type de règle est ajouté à la liste des règles conditionnelles.
- Editez ou supprimez une règle.
- Sélectionnez la stratégie dont vous souhaitez modifier les règles.
- Sélectionnez « Modifier le brouillon
». - Dans la section « Règles de stratégie », cliquez sur l'icône
correspondant à la règle que vous souhaitez modifier.Vous pouvez modifier le nom de la règle. Ajoutez une condition, modifiez les opérateurs ou les valeurs d'une condition existante, ou modifiez l'action associée à la règle. - Cliquez sur Suivant.
- Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser les
icônes et
pour définir l'ordre dans lequel les règles sont évaluées.
L'évaluation est effectuée dans l'ordre décroissant. La règle par défaut est toujours la dernière de la séquence. - Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser l'icône
« Supprimer » pour supprimer une règle. - Sélectionnez « Enregistrer le brouillon ».