编写本机应用程序策略的注意事项
用户认证前,本机应用程序策略应用第一因子规则。 用户认证后,可以应用传统 MFA 规则。
编写第一因子规则
第一因子规则由客户机在已知任何用户或主题之前提供的上下文信息驱动。 这些规则可以触发以下操作。
- 基于提供的上下文拒绝访问
- 例如,需要仅从特定位置访问的简单地理位置规则。
- 更改用户执行第一因子认证的方式
- 例如,如果用户不在公司网络(IP 规则)上,那么必须使用 FIDO2 作为密码认证的替代方法。
只有在使用 policyauth 授权类型的流中才使用第一因子规则。 如果正在使用 password 或未请求的 jwtBearer 授权,那么将仅在验证初始认证上下文后使用第二因子规则。
编写第一因子条件
由于不存在用户或主题,因此可以减少规则中包含的条件数。 目前,支持这些条件。
- 上下文条件
- 基于
/token请求中提供的上下文 - 可以用于根据正在执行的 OAuth 流的类型来变更策略。
- 基于
- IP 条件
- 位置条件
编写第二因子规则
对于 API 驱动的授权类型,编写第二因子规则保持不变。 但是,它不同于传统浏览器 SSO 流程。 在传统流程中,该访问策略应用于的上下文(即会话)的作用域为浏览器的会话。 在 API 驱动的授权类型中,它的作用域是整个 OAuth 授权的生命周期,这可以是更大的时间范围。