管理策略规则

在线编辑

管理新策略的策略规则,或在编辑现有策略时进行管理。

关于此任务

您可以在创建策略或编辑策略时添加策略规则。

Verify 中,对策略的规则评估基于求值顺序。 成功求值的第一个规则是应用于请求的规则。 规则列出的顺序对于策略的结果很重要。 您可以设置规则顺序,以确保可以评估策略及其规则来满足特定业务用例。 参见 2.d

过程

  1. 添加规则。
    1. 无论您是通过 “安全 ”> “访问策略 ”> “添加策略 ”,还是通过编辑现有策略,请导航至 “添加新规则 ”按钮。
    2. 点击 “添加新规则”
    3. 输入规则名称。
    4. 可选: 为该规则提供描述。
    5. 单击下一步
    6. 选择条件类型、属性、运算符和值。
      选择条件类别时,菜单中的操作会根据所选条件类型进行过滤。
      注意: 对于原生应用策略中的“首先联系”规则,支持以下条件类型。
      • 位置属性
        • 网络位置 (IP)
        • 国家或地区
        • 市/县/区
      • OIDC/OAUTH 上下文
        • client_type
      表 1. 政策选项

      此表列出条件类型属性。 条件按 OIDC/OAuth 上下文、定制属性、设备属性、位置属性和用户属性进行排序。
      条件类型 操作 条件值
      自适应访问

      如果为策略选择了“自适应访问”,那么这些属性可用。
      新设备
      • 不是
      		 已检测。
      新地理位置
      • 不是
      		 已检测。
      有风险的设备
      • 不是
      		 已检测。
      有风险的连接
      • 不是
      		 已检测。
      国家或地区
      • 其中一个
      • 不是其中任一个
      		 指定一个条件值。
      市/县/区
      • 其中一个
      • 不是其中任一个
      		 指定一个条件值。
      因特网服务提供商
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      远程 IP
      • 其中一个
      • 不是其中任一个
      		 指定一个条件值。
      行为异常
      • 不是
      		 已检测。
      OIDC/OAUTH 上下文
      acr_values
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      claims
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      client_type
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      code_challenge_exist
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      redirect_uir_scheme
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      request_type
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      response_method
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      response_mode
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      response_type
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      scope
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 指定一个条件值。
      定制属性
      您添加的任何属性
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      • 属性开始于
      • 属性结束于
      • 属性已存在(无值)
      		 指定一个条件值。
      设备属性
      新设备
      		已检测。
      设备平台
      • 其中一个
      • 不是其中任一个
      		 选择一个或多个平台。
      设备合规性
      • 其中一个
      • 不是其中任一个
      		 选择一个或多个合规性状态。
      位置属性

      如果为策略选择了“自适应访问”,那么这些属性不可用。
      网络位置 (IP)
      • 其中一个
      • 不是其中任一个
      		 请提供 IP 地址或以逗号分隔的 IP 地址列表、IP 范围,或带子网的 IP 地址。
      位置历史记录
      • 不是
      		 已验证。
      国家或地区
      • 其中一个
      • 不是其中任一个
      		 根据以下 ISO 标准,提供国家或地区,或提供三字母国家或地区代码的逗号分隔列表。 参见 https://en.wikipedia.org/wiki/ISO_3166-1_alpha-3
      市/县/区
      • 其中一个
      • 不是其中任一个
      		 指定一个条件值。
      用户属性
      组成员资格
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 提供组或以逗号分隔的组列表。
      注意: 以逗号分隔的 Active Directory 组名必须用双引号括起来。 例如, “cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.
      realmName
      • 属性中必须存在一个值或多个值。
      • 属性中不得存在一个值或多个值。
      • 至少有一个值必须存在于属性中。
      		 提供域的名称。
    7. 可选: 点击 “添加条件 ”向策略规则中添加更多条件类型和运算。
    8. 从菜单中选择策略的操作。
      • 重定向以获取更多背景信息
      • 阻止(覆盖)
      • MFA(覆盖)
      • 允许(覆盖)
      • 阻止并重定向
      • 阻止
      • 始终使用 MFA
      • 每个会话执行一次 MFA
      • 继续
      • 允许
      注意: 对于原生应用策略,仅支持“阻止”和“验证”操作。 如果选择“质询”,请指定一个或多个认证方法。
      • FIDO2
      • 密码
      • QR 码
    9. 点击 “保存”
      规则类型将添加到策略规则列表。
  2. 编辑或删除规则。
    1. 编辑 点击 以打开您要修改规则的策略。
    2. 在“策略规则”部分,单击要编辑的规则旁 编辑 边的。
      可以更改规则名称、添加条件、更改现有条件操作码或值 或更改规则的操作。
    3. 点击 “保存”
    4. 可选: 在“策略规则”部分,您可以使用溢出菜单图标 菜单 来调整规则的评估顺序。
      按降序进行评估。 缺省规则始终排在最后。
    5. 可选: 在“策略规则”部分,您可以点击溢出菜单图标 菜单 来删除一条规则。
    6. 点击 “保存”