创建访问策略

在线编辑

设置要应用于应用程序的访问策略和规则。

过程

  1. 选择 “安全” > “访问策略 ”。
  2. 单击。
  3. 提供策略名称。
  4. 选择策略类型。
    联合登录策略
    这些策略设置在完成用户认证后进行评估的规则。 第一个联系人规则不可用于联合登录策略。
    本机 Web 应用程序策略
    Web 原生应用策略包含针对身份验证不同阶段的身份验证前和身份验证后规则。

    本机 Web 应用程序策略第一因子(预认证)规则具有不同的结果操作(质询或阻止)。 由于实际用户未知,因此它们具有一组有限的属性,例如 IP 或位置。 本机 Web 应用程序策略第二因子规则和认证后规则与联合登录策略规则在可用属性和操作方面相同。

    本机移动应用程序策略
    移动原生应用策略包含针对身份验证不同阶段的身份验证前和身份验证后规则。

    本机移动应用程序策略第一因子规则和认证前规则具有不同结果操作(质询或阻止)。 由于实际用户未知,因此它们具有一组有限的属性,例如 OIDC/OAuth 上下文或位置属性。 本机移动策略第二因子规则和认证后规则与联合登录策略规则在可用属性和操作方面相同。

    本机定制应用程序策略
    原生自定义应用策略包含针对身份验证不同阶段的身份验证前和身份验证后规则。 但是,它与本地 Web 和移动策略的不同点在于它不提供自适应访问选项。

    本机定制应用程序策略第一因子规则和认证前规则具有不同结果操作(质询或阻止)。 由于实际用户未知,因此它们具有一组有限的属性,例如 OIDC/OAuth 上下文或位置属性。 本机定制策略第二因子规则和认证后规则与联合登录策略规则在可用属性和操作方面相同。

    注意: 如果您选择 “原生自定义应用策略 ”,则无法使用自适应访问功能。
  5. 点击 “创建策略”
    这会显示策略草稿。 “详细信息 ”面板列出了 ID、创建日期、创建者、最后修改日期和版本。
  6. (可选) 点击 编辑 点击图标编辑基本设置
    1. 更改策略名称。
    2. 添加提供有关策略的信息的描述。
    3. 点击 “保存”
  7. 对于本机应用程序策略,创建第一个联系人规则。
    有关规则的信息,请参阅 “管理策略规则 ”。
    1. 点击 “添加规则”
    2. 指定规则的名称。
    3. 可选: 添加描述。
    4. 单击下一步
    5. 请选择条件类型、属性、运算符和条件值。
    6. 可选: 点击 “添加条件 ”向策略规则中添加更多条件类型、属性、运算符和值。
    7. 单击下一步
    8. 请选择首次联系方式: “挑战 ”或 “封锁”
    9. “挑战 ”字段中,请指定用于身份验证的多因素认证(MFA)方法。
    10. 点击 “添加规则”
      对于要添加的每个规则,重复这些步骤。
  8. 选择是否启用自适应访问。
    有关自适应访问的信息,请参阅《 管理自适应访问》。
    注意:
    • 此选项不可用于本机定制应用程序策略。
    • FedRAMP 不支持自适应访问。 因此,此选项不适用于 FedRAMP 用户。
    1. 选择针对每个风险级别所采取的操作。 对于 MFA 操作,您可以根据租户身份验证因素的配置,选择以下一种或多种方法。
      • 任何可用方法(缺省值)
      • 电子邮件 OTP
      • FIDO2
      • SMS OTP
      • 基于时间的 OTP
      • IBM Verify
      • 语音 OTP
      • Duo Security
      • 定制提供程序
      注: 为了给用户提供更友好的体验,本文中使用“通行密钥”一词代替“FIDO”。
    2. 选择是否向用户发送通知。
  9. 点击 “保存”
  10. 选择是否需要进行多因子重新认证。
    1. 编辑 点击 图标以编辑重新认证设置
    2. 选中 “需要多因素重新身份验证 ”复选框。
    3. 选择认证保持有效的持续时间。 在该时间到期后,用户必须重新认证。 缺省设置为 8 小时。
    4. 可以指定是否要将重新认证应用于用户的每个设备。
    5. 选择用于重新认证的方法。
      对于 MFA 方法,您可以指定使用任何可用方法,或根据租户身份验证因素配置,选择以下一种或多种方法。
      • 任何可用方法(缺省值)
      • 电子邮件 OTP
      • FIDO2
      • SMS OTP
      • 基于时间的 OTP
      • IBM Verify
      • 语音 OTP
      • Duo Security
      • 定制提供程序
    6. 点击 “保存”
  11. 添加外部集成。
    1. 点击 “添加集成 ”。
    2. 从可用集成中选择一个您的实时访问策略 Webhook。
    3. 可选: 转到 “实时 webhook ”页面,创建一个实时访问策略。
    4. 点击 “保存”
    您可以在 “策略规则(SSO) ”中编辑所选 webhook 的条件。
  12. 设置身份验证后的策略规则。
    有关规则的信息,请参阅 “管理策略规则 ”。
    1. 点击 “添加规则”
    2. 指定规则的名称。
    3. 可选: 为该规则添加描述。
    4. 单击下一步
    5. 请选择条件类型、属性、运算符和条件值。
    6. 可选: 点击 “添加条件 ”向策略规则中添加更多条件类型、属性、运算符和值。
    7. 单击下一步
    8. 选择要在满足规则条件时执行的操作。
      • 重定向以获取更多背景信息
      • 阻止(覆盖)
      • MFA(覆盖)
      • 允许(覆盖)
      • 阻止
      • 始终使用 MFA
      • 每个会话执行一次 MFA
      • 继续
      • 允许
      注意: 只有在启用了自适应访问功能时,才可使用 “继续 ”操作。
    9. 如果您选择了 MFA 选项,请指定多重认证方法。
      请使用任何可用的方法,或者根据租户认证因子配置来选择下列其中一种或多种方法。
      • 任何可用方法(缺省值)
      • Duo Security
      • 电子邮件 OTP
      • FIDO2
      • SMS OTP
      • 基于时间的 OTP
      • IBM Verify
      • 语音 OTP
    10. 点击 “添加规则”
      对于要添加的每个规则,重复这些步骤。
  13. 点击 “保存草稿 ”。
  14. 向上箭头 在“策略规则”部分,您可以使用 和 向下箭头 图标来设置规则的评估顺序。
    按降序进行评估。 缺省规则始终排在最后。
  15. 可选: 编辑草稿,以便在发布前检查设置或进行任何修改。
    请参阅 “编辑访问策略”
  16. 点击 “发布”

后续操作

如果您需要对该政策进行任何修改,请点击 “作为草稿编辑”