適応型アクセス・ポリシー・ルールの管理

ポリシーを作成するとき、またはポリシーを編集するときにポリシー・ルールを追加できます。

このタスクについて

における Verify ポリシーのルール評価は、評価順序に基づいて行われます。ポリシー内の各ルールは、順番に評価されます。評価に成功した最初のルールが、そのルールに関連付けられているアクションを特定します。ルールがリストされている順序は、ポリシーの結果にとって重要です。特定のビジネス・ユース・ケースに合わせてポリシーおよびそのルールを評価できるようにルールを順序付けることができます。 3.e を参照してください。

一致するルールがない場合、デフォルト・ルールに関連付けられているアクションが特定されます。

ルール評価とリスク・アセスメントを組み合わせて、全体的なポリシー評価が決定されます。

手順

IBM® Verify 管理者として管理コンソールにログインしてください。

ルールを追加します。

「ポリシーの追加」から、または既存のポリシーを編集して、「ルールの追加」ボタンに移動します。
「ルールを追加」をクリックします。
ルール名を入力します。
（任意）： ルールの説明を追加します。
「次へ」をクリックします。

条件タイプ、属性、演算子、値を選択します。

表 1. 政策の選択肢
この表は、「条件のタイプ」属性をリストしています。条件は、アダプティブアクセス、OIDC / OAuthコンテキスト、カスタム属性、デバイス属性およびユーザー属性によって並べ替えられます。
条件のタイプ	操作	条件値
適応型アクセスこれらの属性は、ポリシーで適応型アクセスが選択されている場合に使用可能です。注：FedRAMP はアダプティブ・アクセスをサポートしていません。したがって、 FedRAMP をご利用のお客様は、これらおよびTrusteerの機能をご利用いただけません。
新規デバイス	が次と等しくない	検出。
新しい地理位置情報	が次と等しくない	検出。
デバイスの状況	次のいずれか次のいずれでもない	条件値を選択してください。
リスク・レベル	次のいずれか次のいずれでもない	条件値を指定します。
デバイスでの最後の MFA	次より小さい次より大きい	デバイスで MFA が実行されてからの日数。値は 1 日から 740 日までの範囲で指定できます。デフォルト設定は 90 日です。
高リスクのデバイス	が次と等しくない	検出。
高リスクの接続	が次と等しくない	検出。
国	次のいずれか次のいずれでもない	条件値を指定します。
市区町村	次のいずれか次のいずれでもない	条件値を指定します。
インターネット・サービス・プロバイダー	次のそれぞれを含む次のいずれか次のいずれでもない	条件値を指定します。
ネットワークの場所 (IP)	次のいずれか次のいずれでもない	条件値を指定します。
動作の異常	次と一致次と等しくない	検出。
OIDC/OAUTH コンテキスト
acr_values	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
claims	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
client_type	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
code_challenge_exist	が次と等しくない	検出。
redirect_uir_scheme	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
request_type	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
response_method	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
response_mode	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
response_type	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
scope	次のそれぞれを含む次のいずれでもない次のいずれか	条件値を指定します。
カスタム属性
`追加した任意の属性`	次のそれぞれを含む次のいずれでもない次のいずれか属性の先頭属性の末尾属性が存在する (値なし)	条件値を指定します。注：属性関数を使用すると、アダプティブアクセスの事前定義条件に含まれていない要素を、アダプティブアクセスの応答JSON全体から抽出することができます。これらをカスタム属性として抽出でき、ポリシールールの条件式内で評価することができます。 a2_manage_rules_ve.dit の「属性関数」にある「適応型リスク」のセクションを参照してください。.. /references/r_attr_functions.html #r_attr_functions__adaptive.
デバイス属性
新規デバイス	次と一致	検出。注：デバイスが新規であり、そのセッションでMFAが完了していない場合、ルールアクションは常にMFAが優先されます。
デバイスのプラットフォーム	次のいずれか次のいずれでもない	1 つ以上のプラットフォームを選択します。
デバイス・コンプライアンス	次のいずれか次のいずれでもない	1 つ以上のコンプライアンス状態を選択します。
ユーザー属性
グループ・メンバーシップ	次のそれぞれを含む次のいずれでもない次のいずれか	グループ、またはグループのコンマ区切りリストを指定します。注：カンマ区切りの Active Directory グループ名は、必ず二重引用符で囲む必要があります。例えば、以下のとおりです。`“cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.`
realmName	次のそれぞれを含む次のいずれでもない次のいずれか	レルムの名前を指定します。

（任意） [条件を追加 ] をクリックして、ポリシールールに条件の種類、属性、演算、および値をさらに追加します。
「次へ」をクリックします。
ポリシーのアクションをメニューから選択します。
- 追加コンテンツを表示するには、こちらへ移動してください
- ブロック (オーバーライド)
- MFA (オーバーライド)
- 許可 (オーバーライド)
- ブロック
- 常に MFA
- セッションごとに MFA
- 続行
- 許可
MFA アクションを選択する場合、MFA 方式も指定しなければなりません。使用可能な方法を選択するか、1つ以上の特定方法を選択してください。使用可能な選択肢は、テナントの構成内容によって異なります。例えば、以下のとおりです。
- E メール OTP
- FIDO2
- SMS OTP
- 時刻ベースの OTP
- IBM Verify アプリ
- 音声 OTP
「ルールを追加」をクリックします。
ルール・タイプが、ポリシー・ルールのリストに追加されます。

ルールを編集または削除します。
1. ルールを変更するポリシーをクリックします。
2. 「下書きを編集」をクリックしてください。
3. [ポリシールール] セクションで、編集したいルールのアイコンをクリックします。
  ルール名の変更、条件の追加、既存の条件操作コードまたは値の変更、またはルールのアクションの変更を行うことができます。
4. 「次へ」をクリックします。
5. オプション： 「ポリシールール」セクションでは、およびアイコンを使用して、ルールが評価される順序を指定できます。
  評価は降順に実行されます。デフォルトのルールは、常に順序の最後尾になります。
6. （任意） ：[ポリシールール] セクションで、[削除] アイコンをクリックしてルールを削除できます。
7. 「下書きを保存」をクリックしてください。