管理自适应访问策略规则

在线编辑

您可以在创建策略或编辑策略时添加策略规则。

关于此任务

Verify 中,对策略的规则评估基于求值顺序。 策略中的每个规则都按顺序进行评估。 成功求值的第一个规则将识别与其关联的操作。 规则列出的顺序对于策略的结果很重要。 您可以设置规则顺序,以确保可以评估策略及其规则来满足特定业务用例。 参见 3.e

如果不匹配任何规则,那么将识别与缺省规则关联的操作。

规则求值与风险评估相结合,可确定总体策略求值。

过程

  1. 以管理员身份登录管理控制台 IBM® Verify
  2. 添加规则。
    1. 无论是在 “添加策略 ”页面还是通过编辑现有策略,请导航至 “添加规则 ”按钮。
    2. 点击 “添加规则”
    3. 输入规则名称。
    4. 可选: 为该规则添加描述。
    5. 单击下一步
    6. 请选择条件类型、属性、运算符和值。
      表 1. 政策选项

      此表列出条件类型属性。 这些条件按自适应访问、OIDC/OAuth 上下文、定制属性、设备属性和用户属性排序。
      条件类型 操作 条件值
      自适应访问
      如果为策略选择了“自适应访问”,那么这些属性可用。
      注意:FedRAMP 不支持自适应访问。 因此, FedRAMP 客户无法使用这些功能以及任何 Trusteer 相关功能。
      新设备
      • 不是
      		 已检测。
      新地理位置
      • 不是
      		 已检测。
      设备状态
      • 以下之一:
      • 不是以下任何项:
      		 选择一个条件值。
      风险级别
      • 以下之一:
      • 不是以下任何项:
      		 指定一个条件值。
      设备上的最后一个 MFA
      • 小于
      • 大于
      		 从在设备上执行 MFA 以来经过的天数。

      该值可以是 1 到 740 天。 缺省设置为 90 天。
      有风险的设备
      • 不是
      		 已检测。
      有风险的连接
      • 不是
      		 已检测。
      国家或地区
      • 以下之一:
      • 不是以下任何项:
      		 指定一个条件值。
      市/县/区
      • 以下之一:
      • 不是以下任何项:
      		 指定一个条件值。
      因特网服务提供商
      • 包含每个
      • 以下之一:
      • 不是以下任何项:
      		 指定一个条件值。
      网络位置 (IP)
      • 以下之一:
      • 不是以下任何项:
      		 指定一个条件值。
      行为异常
      • 不是
      		 已检测。
      OIDC/OAUTH 上下文
      acr_values
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      claims
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      client_type
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      code_challenge_exist
      • 不是
      		 已检测。
      redirect_uir_scheme
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      request_type
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      response_method
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      response_mode
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      response_type
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      scope
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      定制属性
      您添加的任何属性
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      • 属性以其开头
      • 属性以其结尾
      • 属性已存在(无值)
      		 指定一个条件值。
      注意: 属性函数可用于从完整的自适应访问响应 JSON 中提取那些未包含在自适应访问预定义条件中的元素。 它们可以提取为自定义属性,并在策略规则条件中进行评估。 请参阅 a2_manage_rules_ve.dit 中的“自适应风险”部分,具体见“属性函数” 下的“自适应风险 ”。
      设备属性
      新设备
      		已检测。
      注意: 当设备为新设备且当前会话中尚未完成多因素身份验证时,规则操作将被覆盖为始终启用多因素身份验证。
      设备平台
      • 以下之一:
      • 不是以下任何项:
      		 选择一个或多个平台。
      设备合规性
      • 以下之一:
      • 不是以下任何项:
      		 选择一个或多个合规性状态。
      用户属性
      组成员资格
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 提供组或以逗号分隔的组列表。
      注意: 以逗号分隔的 Active Directory 组名必须用双引号括起来。 例如, “cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.
      realmName
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 提供域的名称。
    7. 可选: 单击 “添加条件 ”以向策略规则添加更多条件类型、属性、运算和值。
    8. 单击下一步
    9. 从菜单中选择策略的操作。
      • 重定向以获取更多内容
      • 阻止(覆盖)
      • MFA(覆盖)
      • 允许(覆盖)
      • 阻止
      • 始终使用 MFA
      • 每个会话执行一次 MFA
      • 继续
      • 允许
      如果您选择了 MFA 操作,则还需要指定 MFA 方法。 您可以选择任何可用方法或选择一个或多个特定方法。 可用的选择取决于为租户配置的内容。 例如,
      • 电子邮件 OTP
      • FIDO2
      • SMS OTP
      • 基于时间的 OTP
      • IBM Verify 应用程序
      • 语音 OTP
    10. 点击 “添加规则”
      规则类型将添加到策略规则列表。
  3. 编辑或删除规则。
    1. 单击要对其更改规则的策略。
    2. 编辑点击“编辑草稿”。
    3. 在“策略规则”部分,单击要编辑的规则旁边的图标 编辑
      可以更改规则名称、添加条件、更改现有条件操作码或值 或更改规则的操作。
    4. 单击下一步
    5. 可选: 在“策略规则”部分,您可以使用 和 向下箭头 图标来 向上箭头 设置规则的评估顺序。
      按降序进行评估。 缺省规则始终排在最后。
    6. 可选: 在“策略规则”部分,您可以使用“删除”图标 垃圾桶图标 来删除一条规则。
    7. 点击 “保存草稿 ”。