Gestion des règles conditionnelles

Vous pouvez ajouter des règles conditionnelles lorsque vous créez une stratégie ou lorsque vous éditez une stratégie.

A propos de cette tâche

L'évaluation des règles d'une politique dans Verify repose sur l'ordre d'évaluation. La première règle qui est évaluée avec succès est celle qui est appliquée à la demande. L'ordre dans lequel les règles sont répertoriées est important pour le résultat de la stratégie. Vous pouvez définir l'ordre des règles pour vous assurer que la stratégie et ses règles peuvent être évaluées pour répondre à des cas d'utilisation métier spécifiques. Voir 2.e.

Procédure

  1. Ajoutez une règle.
    1. Que ce soit via l'option « Ajouter une stratégie » ou en modifiant une stratégie existante, accédez au bouton « Ajouter une règle ».
    2. Cliquez sur « Ajouter une règle ».
    3. Entrez le nom de la règle.
    4. Facultatif : ajoutez une description pour la règle.
    5. Cliquez sur Suivant.
    6. Sélectionnez le type de condition, l'attribut, l'opérateur et la valeur.
      Lorsque vous sélectionnez un type de condition, les opérateurs du menu sont filtrés en fonction du type de condition sélectionné.
      Remarque : pour les règles de contact des politiques d'applications natives, les types de conditions suivants sont disponibles.
      • Attributs d'emplacement
        • Emplacement réseau (IP)
        • Pays
        • Ville
      • Contexte OIDC/OAUTH
        • client_type
      Tableau 1. Options stratégiques

      Le tableau répertorie les attributs de type de condition. Les conditions sont triées par accès adaptatif, contexte OIDC/OAuth, attributs personnalisés, attributs d'appareil, attributs d'emplacement et attributs utilisateur.

      Type de condition Opération Valeurs de condition
      Accès adaptatif
      Ces attributs sont disponibles si Accès adaptatif est sélectionné pour la stratégie.
      Remarque : FedRAMP ne prend pas en charge l'accès adaptatif. Par conséquent, ces fonctionnalités ainsi que toutes les autres fonctionnalités de Trusteer ne sont pas disponibles pour les clients d' FedRAMP.
      Nouvel appareil
      • Désigne
      • N'est pas
      Détecté.
      Nouvelle géolocalisation
      • Désigne
      • N'est pas
      Détecté.
      Statut de l'appareil
      • est l'un des
      • n'est pas l'un des
      Sélectionnez une valeur de condition.
      Niveau de risque
      • est l'un des
      • n'est pas l'un des
      Sélectionnez une valeur de condition.
      Dernière authentification MFA sur l'appareil
      • Inférieur à
      • Supérieur à
      Nombre de jours depuis qu'une authentification MFA a été effectuée sur l'appareil.

      La valeur peut être comprise entre 1 et 740 jours. Le paramètre par défaut est de 90 jours.

      Appareil à risque
      • Désigne
      • N'est pas
      Détecté.
      Connexion à risque
      • Désigne
      • N'est pas
      Détecté.
      Pays
      • est l'un des
      • n'est pas l'un des
      Indiquez une valeur de condition.
      Ville
      • est l'un des
      • n'est pas l'un des
      Indiquez une valeur de condition.
      Fournisseur de services Internet
      • contient chacun des
      • est l'un des
      • n'est pas l'un des
      Indiquez une valeur de condition.
      Emplacement réseau (IP)
      • est l'un des
      • n'est pas l'un des
      Indiquez une valeur de condition.
      Anomalie comportementale
      • Désigne
      • N'est pas
      Détecté.
      Contexte OIDC/OAUTH
      acr_values
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      claims
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      client_type
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      code_challenge_exist
      • Désigne
      • N'est pas
      Détecté.
      redirect_uri_scheme
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      request_type
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      response_method
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      response_mode
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      response_type
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      portée
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez une valeur de condition.
      Attributs personnalisés
      Tout attribut que vous avez ajouté
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      • L'attribut commence par
      • L'attribut se termine par
      • L'attribut est présent (aucune valeur)
      Indiquez une valeur de condition.
      Attributs de l'appareil
      Nouvel appareil
      • Désigne
      Détecté.
      Remarque : lorsque l'appareil est neuf et que l'authentification multifactorielle (MFA) n'a pas encore été configurée pour la session, l'action de la règle est remplacée par « MFA toujours ».
      Plateforme de l'appareil
      • est l'un des
      • n'est pas l'un des
      Sélectionnez une ou plusieurs plateformes.
      Conformité de l'appareil
      • est l'un des
      • n'est pas l'un des
      Sélectionnez un ou plusieurs états de conformité.
      Attributs d'emplacement

      Ces attributs ne sont pas disponibles si Accès adaptatif est sélectionné pour la stratégie.

      Emplacement réseau (IP)
      • est l'un des
      • n'est pas l'un des
      Indiquez une adresse IP ou une liste d'adresses IP séparées par une virgule, une plage d'IP ou une adresse IP avec un sous-réseau.
      Historique des emplacements
      • Désigne
      • N'est pas
      Vérifié.
      Pays
      • est l'un des
      • n'est pas l'un des
      Indiquez un pays ou une liste séparée par des virgules de codes pays à trois lettres en fonction de la norme ISO suivante. Voir https://en.wikipedia.org/wiki/ISO_3166-1_alpha-3.
      Ville
      • est l'un des
      • n'est pas l'un des
      Indiquez une valeur de condition.
      Attributs utilisateur
      Appartenance au groupe
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez un groupe ou une liste de groupes séparés par une virgule.
      Remarque : les noms de groupes d' Active Directory s séparés par des virgules doivent être placés entre guillemets. Par exemple, “cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.
      realmName
      • contient chacun des
      • n'est pas l'un des
      • est l'un des
      Indiquez le nom du domaine.
    7. Facultatif : sélectionnez « Ajouter une condition » pour ajouter d'autres types de conditions, attributs, opérations et valeurs à la règle de stratégie.
    8. Cliquez sur Suivant.
    9. Sélectionnez l'action à appliquer pour la stratégie dans le menu.
      • Rediriger vers le contenu supplémentaire
      • Bloquer (substitution)
      • Authentification multi-facteur (substitution)
      • Autoriser (substitution)
      • Bloc
      • Toujours l'authentification multi-facteur
      • Authentification multi-facteur par session
      • Autoriser
      Si vous sélectionnez une action MFA, vous devez également spécifier la méthode MFA. Vous pouvez sélectionner n'importe quelle méthode disponible ou sélectionner une ou plusieurs méthodes spécifiques. Les sélections disponibles dépendent de ce qui est configuré pour votre locataire. Par exemple :
      • Mot de passe à utilisation unique envoyé par courrier électronique
      • FIDO2
      • Mot de passe à utilisation unique envoyé par SMS
      • Mot de passe à utilisation unique limitée dans le temps
      • Application IBM Verify
      • Mot de passe à utilisation unique envoyé par message vocal
    10. Sélectionnez « Ajouter une règle ».
      Le type de règle est ajouté à la liste des règles conditionnelles.
  2. Editez ou supprimez une règle.
    1. Sélectionnez la stratégie dont vous souhaitez modifier les règles.
    2. Sélectionnez « Modifier le brouillon Editer».
    3. Dans la section « Règles de stratégie », cliquez sur l'icône Editer correspondant à la règle que vous souhaitez modifier.
      Vous pouvez modifier le nom de la règle. Ajoutez une condition, modifiez les opérateurs ou les valeurs d'une condition existante, ou modifiez l'action associée à la règle.
    4. Cliquez sur Suivant.
    5. Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser les Flèche vers le haut icônes et Flèche vers le bas pour définir l'ordre dans lequel les règles sont évaluées.
      L'évaluation est effectuée dans l'ordre décroissant. La règle par défaut est toujours la dernière de la séquence.
    6. Facultatif : dans la section « Règles de stratégie », vous pouvez utiliser l'icône Icône de poubelle « Supprimer » pour supprimer une règle.
    7. Sélectionnez « Enregistrer le brouillon ».