적용 액세스 정책 규칙 관리

정책을 작성하거나 정책을 편집할 때 정책 규칙을 추가할 수 있습니다.

이 태스크에 대한 정보

에서 Verify 정책에 대한 규칙 평가는 평가 순서에 기초합니다. 정책의 각 규칙은 순차적으로 평가됩니다. 성공적으로 평가 받는 첫 번째 규칙은 이와 연관된 조치를 식별합니다. 규칙이 나열되는 순서는 정책의 결과에 중요합니다. 특정 비즈니스 유스 케이스를 충족하기 위해 정책과 해당 규칙이 평가될 수 있도록 규칙의 순서를 지정할 수 있습니다. 3.e 을 참조하십시오.

일치하는 규칙이 없으면 기본 규칙과 연관된 조치가 식별됩니다.

규칙 평가는 위험 평가와 결합되어 전체 정책 평가를 판별합니다.

프로시저

관리자 계정으로 관리 콘솔에 IBM® Verify 로그인하십시오.

규칙를 추가하십시오.

‘정책 추가’를 선택하거나 기존 정책을 편집하여 ‘규칙 추가’ 버튼으로 이동합니다.
‘규칙 추가’를 클릭합니다.
규칙 이름을 입력하십시오.
선택 사항: 규칙에 대한 설명을 추가하세요.
다음을 클릭하십시오.

조건 유형, 속성, 연산자, 값을 선택하십시오.

표 1. 정책 방안
다음 표는 조건 유형 속성을 나열합니다. 조건은 적응형 액세스, OIDC/OAuth 컨텍스트, 사용자 정의 속성, 디바이스 속성, 사용자 속성으로 정렬됩니다.
조건 유형	운영	조건 값
적응형 액세스 정책에 대해 적용 액세스를 선택한 경우 이러한 속성을 사용할 수 있습니다. 참고: FedRAMP 은 적응형 액세스를 지원하지 않습니다. 따라서, 이러한 기능 및 모든 Trusteer 기능은 FedRAMP 고객에게는 제공되지 않습니다.
새 디바이스	같음 은(는) 다음이 아님	발견됨.
새 위치정보	같음 은(는) 다음이 아님	발견됨.
디바이스 상태	다음 중 하나 포함 안함	조건 값을 선택하세요.
위험 레벨	다음 중 하나 포함 안함	조건 값을 지정합니다.
디바이스의 마지막 MFA	미만 보다 큼	디바이스에서 MFA가 수행된 이후의 일 수입니다. 이 값은 1 - 740일일 수 있습니다. 기본 설정은 90일입니다.
위험한 디바이스	같음 은(는) 다음이 아님	발견됨.
위험한 연결	같음 은(는) 다음이 아님	발견됨.
국가	다음 중 하나 포함 안함	조건 값을 지정합니다.
구/군/시	다음 중 하나 포함 안함	조건 값을 지정합니다.
인터넷 서비스 제공자	각각 포함 다음 중 하나 포함 안함	조건 값을 지정합니다.
네트워크 위치(IP)	다음 중 하나 포함 안함	조건 값을 지정합니다.
동작 이상 항목	같음 같지 않음	발견됨.
OIDC/OAUTH 컨텍스트
acr_values	각각 포함 포함 안함 다음 중 하나	조건 값을 지정합니다.
claims	각각 포함 포함 안함 다음 중 하나	조건 값을 지정합니다.
client_type	각각 포함 포함 안함 다음 중 하나	조건 값을 지정합니다.
code_challenge_exist	같음 은(는) 다음이 아님	발견됨.
redirect_uir_scheme	각각 포함 포함 안함 다음 중 하나	조건 값을 지정합니다.
request_type	각각 포함 포함 안함 다음 중 하나	조건 값을 지정합니다.
response_method	각각 포함 포함 안함 다음 중 하나	조건 값을 지정합니다.
response_mode	각각 포함 포함 안함 다음 중 하나	조건 값을 지정합니다.
response_type	각각 포함 포함 안함 다음 중 하나	조건 값을 지정합니다.
범위	각각 포함 포함 안함 다음 중 하나	조건 값을 지정합니다.
사용자 정의 속성
`사용자가 추가한 모든 속성`	각각 포함 포함 안함 다음 중 하나 속성은 다음으로 시작함 속성은 다음으로 끝남 속성이 존재함(값 없음)	조건 값을 지정합니다. 참고: 속성 함수를 사용하면 적응형 액세스 사전 정의 조건에 포함되지 않은 요소를 전체 적응형 액세스 응답 JSON에서 추출할 수 있습니다. 이들은 정책 규칙 조건에서 평가할 수 있는 사용자 정의 속성으로 추출할 수 있습니다. a2_manage_rules_ve.dit 의 ‘속성 함수’ 섹션 중 ‘적응형 위험’ 부분을 참조하십시오... /references/r_attr_functions.html #r_attr_functions__adaptive.
디바이스 속성
새 디바이스	같음	발견됨. 참고: 기기가 새 기기이고 해당 세션에서 다단계 인증(MFA)이 완료되지 않은 경우, 규칙 동작은 항상 MFA로 재설정됩니다.
디바이스 플랫폼	다음 중 하나 포함 안함	하나 이상의 플랫폼을 선택하십시오.
디바이스 준수	다음 중 하나 포함 안함	하나 이상의 준수 상태를 선택하십시오.
사용자 속성
그룹 멤버십	각각 포함 포함 안함 다음 중 하나	그룹 또는 쉼표로 구분된 그룹 목록을 제공하십시오. 참고: 쉼표로 구분된 Active Directory 그룹 이름은 반드시 큰따옴표로 묶어야 합니다. 예를 들면 다음과 같습니다.`“cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.`
realmName	각각 포함 포함 안함 다음 중 하나	범위의 이름을 제공하십시오.

선택 사항: ‘조건 추가’를 클릭하여 정책 규칙에 조건 유형, 속성, 연산 및 값을 더 추가할 수 있습니다.
다음을 클릭하십시오.
메뉴에서 정책에 대한 조치를 선택하십시오.
- 추가 콘텐츠를 보려면 여기로 이동하세요
- 차단(대체)
- MFA(대체)
- 허용(대체)
- 블록
- MFA 항상
- 세션당 MFA
- 계속
- 허용
MFA 조치를 선택하면 MFA 메소드도 지정해야 합니다. 사용 가능한 메소드를 선택하거나 하나 이상의 특정 메소드를 선택할 수 있습니다. 사용 가능한 선택사항은 테넌트에 대해 구성된 사항에 따라 다릅니다. 예를 들면 다음과 같습니다.
- 이메일 OTP
- FIDO2
- SMS OTP
- 시간 기반 OTP
- IBM Verify 앱
- 음성 OTP
‘규칙 추가’를 클릭합니다.
규칙 유형이 정책 규칙의 목록에 추가됩니다.

규칙을 편집하거나 삭제하십시오.
1. 규칙을 변경할 정책을 클릭하십시오.
2. ‘초안 편집’을 클릭하세요.
3. ‘정책 규칙’ 섹션에서 편집하려는 규칙의 아이콘을 클릭합니다.
  규칙 이름을 변경하거나, 조건을 추가하거나, 기존 조건 연산 코드 또는 값을 변경하거나, 규칙에 대한 조치를 변경할 수 있습니다.
4. 다음을 클릭하십시오.
5. 선택 사항: ‘정책 규칙’ 섹션에서 및 아이콘을 사용하여 규칙이 평가되는 순서를 지정할 수 있습니다.
  평가는 내림차순으로 이루어집니다. 기본 규칙은 항상 시퀀스의 마지막입니다.
6. 선택 사항: ‘정책 규칙’ 섹션에서 삭제 아이콘을 사용하여 규칙을 삭제할 수 있습니다.
7. ‘초안 저장’을 클릭하세요.