您可以通过管理控制台 IBM® Verify 创建自适应访问策略。
关于此任务
注意:FedRAMP 不支持自适应访问。 因此,此功能不适用于 FedRAMP 用户。
过程
- 以管理员身份登录管理控制台 IBM Verify 。
- 在导航菜单中,点击 。
显示一个表格,按名称和描述列出可用的策略。
这些图标用于指示该策略是否可以删除。 锁形图标
表示该策略已预设,无法进行修改或删除。
- 点击 “添加策略 ”。
- 提供策略名称,并可选择提供策略描述。
- 单击下一步。
- 启用 “自适应访问 ”开关按钮。
- 可选: 为每个风险等级设置不同的处理措施。
表 1. 风险等级与整改措施下表显示了风险级别、风险描述、缺省操作和可用操作列表。 对于级别为“非常高”的风险,缺省操作为“阻止”。 对于级别为“高”的风险,缺省操作为“始终使用 MFA”。 对于级别为“中”的风险,缺省操作为“每个会话执行一次 MFA”。 对于级别为“低”的风险,缺省操作为“允许”。
注意: 各风险等级下显示的操作均为默认操作,您可以保留原设置,也可根据需要进行修改。
| 风险级别 |
描述 |
缺省操作 |
可用的修正操作 |
| 非常高 |
对于被评估为“非常高”风险的用户,必须将其视为严重业务风险。 该用户以可疑的方式行事,或者该用户所使用的设备未知、不可信或包含恶意软件。 |
阻止 |
- 阻止(覆盖)
- “阻止”操作将覆盖策略中的所有其他决策。
- MFA(覆盖)
- “MFA”操作将覆盖策略中的所有其他决策。
- 允许(覆盖)
- “允许”操作将覆盖策略中的所有其他决策。
- 阻止
- 拒绝用户访问。
- 始终使用 MFA
- 始终要求进行 MFA,即使在同一会话中。
- 每个会话执行一次 MFA
- 如果尚未执行 MFA,将强制执行 MFA。
- 允许
- 授权用户访问。
有关补救措施的更多信息,请参阅《 自适应访问用户操作》。
- MFA 选项
- 可以选择可用于多因子认证的一个或多个方法。
- 电子邮件 OTP
- FIDO2
- SMS OTP
- 基于时间的 OTP
- IBM Verify
- 语音 OTP
|
| 高 |
对于被评估为“高”风险的用户,必须在该用户每次尝试访问已启用自适应访问的应用程序时,重新向企业确认其身份。 此多因子认证可确保企业能够信任要访问应用程序的用户确实是预期的用户。 |
始终使用 MFA |
| 中 |
对于被评估为“中”风险的用户,必须在每个会话中确认一次用户身份。 此多因子认证可确保在初始应用程序认证期间,用户确实与登录时使用的用户身份相符。 后续认证请求无需第二级认证。 会话到期后,需要用户提供更多认证。 |
每个会话执行一次 MFA |
| 低 |
对于被评估为“低”风险的用户,该用户只需提供其初始认证,除此之外,无需提供对用户身份的任何其他洞察。 对应用程序的所有后续访问都会被允许。 当前 Verify 会话过期后,用户需要重新确认身份。 将授予对应用程序的访问权。 |
允许 |
- 可选: 启用用户通知开关,以便在访问受限或被拒绝时通知用户。
表 2. 电子邮件信息
| 属性 |
描述 |
用户操作 |
| 位置 |
如果可用,此项为发出请求的城市和国家或地区的名称。 |
验证此位置是否为用户过去进行过认证的已知位置。 |
| 浏览器 |
发出请求的浏览器的名称和版本。 |
验证此浏览器是否为用户用于向应用程序进行认证的已知浏览器。 |
| IP 地址 |
发出请求的 IP 地址。 |
如果可能,验证 IP 地址是否为已知地址。 |
- 单击下一步。
- 可选: 添加一条规则。
- 可选: 更改 “默认规则 ”的操作。
单击默认规则旁的
,然后从菜单中选择一个操作。 然后,点击
“保存”。
- 点击 “保存”。
该策略将添加到可用策略列表,在为管理控制台和主页设置访问策略时,可选择该策略。
后续操作
管理策略规则。 请参阅 “管理自适应访问策略规则 ”。