기본 애플리케이션 정책 작성에 대한 고려사항

온라인에서 편집하기

사용자가 인증하기 전에 기본 애플리케이션 정책이 첫 번째 요인 규칙을 적용합니다. 사용자 인증 후 기존 MFA 규칙을 적용할 수 있습니다.

첫 번째 요인 규칙 작성

첫 번째 요인 규칙은 사용자 또는 주체가 알려지기 전에 클라이언트에서 제공하는 컨텍스트 정보를 바탕으로 작동됩니다. 규칙은 다음 조치를 트리거할 수 있습니다.
제공된 컨텍스트를 기반으로 액세스 거부
예를 들어, 특정 위치에서만 액세스해야 하는 단일 위치정보 규칙이 있습니다.
사용자가 첫 번째 요인 인증을 수행하는 방법 변경
예를 들어, 사용자가 회사 네트워크(IP 규칙)에 없는 경우 FIDO2를 비밀번호 인증의 대안으로 사용해야 합니다.

첫 번째 요인 규칙은 policyauth 권한 부여 유형이 사용되는 플로우에서만 사용됩니다. password 또는 요구받지 않은 jwtBearer 권한 부여를 사용하는 경우 초기에 인증된 컨텍스트를 유효성 검증한 후에만 두 번째 요인 규칙이 사용됩니다.

첫 번째 요인 조건 작성

사용자 또는 주체가 없으므로 규칙에 포함할 수 있는 조건의 수는 줄어듭니다. 현재 이러한 조건이 지원됩니다.
  • 컨텍스트 조건
    • /token에 대한 요청에 제공되는 컨텍스트 기반
    • 수행되는 OAuth 플로우의 유형을 기반으로 정책을 변경하는 데 사용할 수 있습니다.
  • IP 조건
  • 위치 조건

두 번째 요인 규칙 작성

두 번째 요인 규칙 작성은 API 기반 권한 부여 유형에 대해 동일하게 유지됩니다. 하지만 기존 브라우저 SSO 플로우와 다릅니다. 기존 플로우에서 해당 액세스 정책이 적용되는 컨텍스트는 브라우저의 해당 세션으로 범위가 지정됩니다. API 기반 권한 부여 유형에서는 전체 OAuth 권한 부여의 수명으로 범위가 지정되며, 이는 훨씬 더 긴 시간일 수 있습니다.