管理访问策略

在线编辑

您可以创建、修改或删除访问策略及其规则。

过程

选择 “安全” > “访问策略 ”。
显示一个表格，按名称和描述列出可用的策略。这些图标表示该策略是否可以编辑或删除。锁定图标表示该策略已预设，无法进行修改或删除。
添加策略。
1. 选择 “添加策略 ”。
2. 提供策略名称和策略描述。
3. 选择 “下一步”。
4. 选择策略类型。
  
  联合登录策略
  
  这些策略设置在完成用户认证后进行评估的规则。最前面的合同规则不可用于联合登录策略。跳过步骤 f 和步骤 g。
  
  本机 Web 应用程序策略
  
  Web 本机应用程序策略具有认证的不同阶段的认证前规则和认证后规则。
  本机 Web 应用程序策略第一因子规则和认证前规则具有不同结果操作（质询或阻止）。由于实际用户未知，因此它们具有一组有限的属性，例如 IP 或位置。本机 Web 应用程序策略第二因子规则和认证后规则与联合登录策略规则在可用属性和操作方面相同。
  
  本机移动应用程序策略
  
  本机移动应用程序策略具有认证的不同阶段的认证前规则和认证后规则。
  本机移动应用程序策略第一因子规则和认证前规则具有不同结果操作（质询或阻止）。由于实际用户未知，因此它们具有一组有限的属性，例如 OIDC/OAuth 上下文或位置属性。本机移动策略第二因子规则和认证后规则与联合登录策略规则在可用属性和操作方面相同。
  
  本机定制应用程序策略
  
  本机定制应用程序策略具有认证的不同阶段的认证前规则和认证后规则。但是，它与本机 Web 和移动策略的不同之处在于它不提供自适应访问选项。跳过步骤 h。
  本机定制应用程序策略第一因子规则和认证前规则具有不同结果操作（质询或阻止）。由于实际用户未知，因此它们具有一组有限的属性，例如 OIDC/OAuth 上下文或位置属性。本机定制策略第二因子规则和认证后规则与联合登录策略规则在可用属性和操作方面相同。
5. 选择 “下一步”。
6. 为认证前创建最前面的合同规则。
  此选项只能用于本机应用策略。您可以编辑缺省规则，或创建更多认证前规则。有关创建规则的信息，请参阅 “管理策略规则 ”。
  注意：点击可更改默认规则的操作和多因素身份验证（MFA）选项。您可以使用溢出菜单图标来调整规则的评估顺序。
7. 选择 “下一步”。
8. 选择是否启用自适应访问。
  注意：此选项不适用于原生自定义应用策略。
  您可以选择针对每个风险级别执行的操作。对于 MFA 操作，您可以选择以下一个或多个方法。
  - 电子邮件 OTP
  - FIDO2
  - SMS OTP
  - 基于时间的 OTP
  - IBM Verify
  - 语音 OTP
  请参阅 “管理自适应访问 ”。
9. 选择 “下一步”。
10. 选择是否启用重新认证。
  如果启用，
  - 您可以指定是否要将重新认证应用于每个用户设备。
  - 选择认证保持有效的持续时间。在该时间到期后，用户必须重新认证。缺省设置为 8 小时。
11. 选择 “下一步”。
12. 可选： 添加一条规则。请参阅 “管理策略规则 ”。
  在用户认证后应用这些规则。
  注意：点击可更改默认规则的操作。您可以使用溢出菜单图标来调整规则的评估顺序。
13. 选择 “下一步”。
14. 选择 “保存 ”。
  该策略将添加到可用策略列表，在为管理控制台和主页设置访问策略时，可选择该策略。
编辑策略。
您可以添加更多规则、删除规则、更改缺省规则操作或更改规则评估的顺序。
1. 选择该策略，然后点击编辑图标。
2. 可选： 更改策略名称或描述。
3. 可选： 对于联合登录策略，您可以启用或禁用自适应访问。
4. 对于本机应用策略，您可以添加或编辑认证前规则。
5. 启用或禁用重新认证并更改验证设置。
6. 可选： 添加或编辑规则。
  
  注意：对于联合登录策略，您只能添加或编辑仅在用户身份验证完成后生效的规则。对于本机应用策略，您可以添加或编辑用户认证前和用户认证后规则。
7. 可选： 使用溢出菜单图标来设置规则的评估顺序。
  按降序进行评估。缺省规则始终排在最后。
8. 可选： 点击图标来修改或删除规则。
  请参阅 “管理策略规则 ”。
9. 选择 “保存 ”。
10. 选择 “完成 ”。
删除策略。

注意：已删除的策略无法恢复。如果再次需要该策略，必须手动重新创建该策略。
1. 选中该策略，然后点击删除图标。
2. 确认要删除该策略。
  该策略将从可用策略列表中除去。您不能再将其设为管理控制台和主页的访问策略。