Considerações para escrever políticas de aplicativo nativo
As políticas de aplicativo nativo aplicam regras de primeiro fator antes que o usuário se autentique. Após a autenticação do usuário, as regras tradicionais de MFA podem ser aplicadas.
Escrevendo regras de primeiro fator
- Negar acesso com base no contexto apresentado
- Por exemplo, uma regra de localização geográfica simples que requer acesso somente a partir de uma determinada localização.
- Alterar como um usuário deve executar a autenticação de primeiro fator
- Por exemplo, se um usuário não estiver na rede corporativa (Uma regra de IP), o FIDO2 deverá ser usado como uma alternativa à autenticação de senha.
As regras de primeiro fator são usadas apenas em fluxos
em que o tipo de concessão policyauth está
sendo usado. Se password forem utilizadas autorizações automáticas ou não solicitadas jwtBearer , as regras de segundo fator só são aplicadas após a validação do contexto autenticado inicial.
Escrevendo condições de primeiro fator
- Condições de contexto
- Com base no contexto que é fornecido na solicitação
para
/token - Pode ser usado para alterar a política com base no tipo de fluxo OAuth que está sendo executado.
- Com base no contexto que é fornecido na solicitação
para
- Condições de IP
- Condições de localização
Escrevendo regras de segundo fator
A autoria de regras de segundo fator permanece a mesma para os tipos de concessão orientados por API. No entanto, ela difere de um fluxo de SSO de navegador tradicional. No fluxo tradicional, o contexto ao qual essa política de acesso é aplicada (isto é, a sessão) tem o escopo definido para a sessão do navegador. Em um tipo de concessão orientado por API, o escopo dele é definido como o tempo de vida de toda a concessão de OAuth, que pode ser uma escala de tempo muito maior.