管理策略规则

在线编辑

您可以在创建策略或编辑策略时添加策略规则。

关于此任务

Verify 中,对策略的规则评估基于求值顺序。 成功求值的第一个规则是应用于请求的规则。 规则列出的顺序对于策略的结果很重要。 您可以设置规则顺序,以确保可以评估策略及其规则来满足特定业务用例。 参见 2.e

过程

  1. 添加规则。
    1. 无论是在 “添加策略 ”页面还是通过编辑现有策略,请导航至 “添加规则 ”按钮。
    2. 点击 “添加规则”
    3. 输入规则名称。
    4. 可选: 为该规则添加描述。
    5. 单击下一步
    6. 请选择条件类型、属性、运算符和值。
      选择条件类型时,菜单中的运算符将根据所选条件类型进行过滤。
      注意: 对于原生应用策略中的“首先联系”规则,支持以下条件类型。
      • 位置属性
        • 网络位置 (IP)
        • 国家或地区
        • 市/县/区
      • OIDC/OAUTH 上下文
        • client_type
      表 1. 政策选项

      此表列出条件类型属性。 这些条件按自适应访问、OIDC/OAuth 上下文、定制属性、设备属性、位置属性和用户属性进行排序。
      条件类型 操作 条件值
      自适应访问
      如果为策略选择了“自适应访问”,那么这些属性可用。
      注意:FedRAMP 不支持自适应访问。 因此, FedRAMP 客户无法使用这些功能以及任何 Trusteer 相关功能。
      新设备
      • 不是
      		 已检测。
      新地理位置
      • 不是
      		 已检测。
      设备状态
      • 以下之一:
      • 不是以下任何项:
      		 选择一个条件值。
      风险级别
      • 以下之一:
      • 不是以下任何项:
      		 选择一个条件值。
      设备上的最后一个 MFA
      • 小于
      • 大于
      		 从在设备上执行 MFA 以来经过的天数。

      该值可以是 1 到 740 天。 缺省设置为 90 天。
      有风险的设备
      • 不是
      		 已检测。
      有风险的连接
      • 不是
      		 已检测。
      国家或地区
      • 以下之一:
      • 不是以下任何项:
      		 指定一个条件值。
      市/县/区
      • 以下之一:
      • 不是以下任何项:
      		 指定一个条件值。
      因特网服务提供商
      • 包含每个
      • 以下之一:
      • 不是以下任何项:
      		 指定一个条件值。
      网络位置 (IP)
      • 以下之一:
      • 不是以下任何项:
      		 指定一个条件值。
      行为异常
      • 不是
      		 已检测。
      OIDC/OAUTH 上下文
      acr_values
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      claims
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      client_type
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      code_challenge_exist
      • 不是
      		 已检测。
      redirect_uri_scheme
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      request_type
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      response_method
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      response_mode
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      response_type
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      scope
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 指定一个条件值。
      定制属性
      您添加的任何属性
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      • 属性开始于
      • 属性结束于
      • 属性已存在(无值)
      		 指定一个条件值。
      设备属性
      新设备
      		已检测。
      注意: 当设备为新设备且当前会话中尚未完成多因素身份验证时,规则操作将被覆盖为始终启用多因素身份验证。
      设备平台
      • 以下之一:
      • 不是以下任何项:
      		 选择一个或多个平台。
      设备合规性
      • 以下之一:
      • 不是以下任何项:
      		 选择一个或多个合规性状态。
      位置属性

      如果为策略选择了“自适应访问”,那么这些属性不可用。
      网络位置 (IP)
      • 以下之一:
      • 不是以下任何项:
      		 请提供 IP 地址或以逗号分隔的 IP 地址列表、IP 范围,或带子网的 IP 地址。
      位置历史记录
      • 不是
      		 已验证。
      国家或地区
      • 以下之一:
      • 不是以下任何项:
      		 根据以下 ISO 标准,提供国家或地区,或提供三字母国家或地区代码的逗号分隔列表。 参见 https://en.wikipedia.org/wiki/ISO_3166-1_alpha-3
      市/县/区
      • 以下之一:
      • 不是以下任何项:
      		 指定一个条件值。
      用户属性
      组成员资格
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 提供组或以逗号分隔的组列表。
      注意: 以逗号分隔的 Active Directory 组名必须用双引号括起来。 例如, “cn=w3id-block-list,ou=memberlist,ou=ibmgroups,o=ibm.com”.
      realmName
      • 包含每个
      • 不是以下任何项:
      • 以下之一:
      		 提供域的名称。
    7. 可选: 选择 “添加条件 ”以向策略规则中添加更多条件类型、属性、运算和值。
    8. 选择 “下一步”
    9. 从菜单中选择策略的操作。
      • 重定向以获取更多内容
      • 阻止(覆盖)
      • MFA(覆盖)
      • 允许(覆盖)
      • 阻止
      • 始终使用 MFA
      • 每个会话执行一次 MFA
      • 允许
      如果您选择了 MFA 操作,则还需要指定 MFA 方法。 您可以选择任何可用方法或选择一个或多个特定方法。 可用的选择取决于为租户配置的内容。 例如,
      • 电子邮件 OTP
      • FIDO2
      • SMS OTP
      • 基于时间的 OTP
      • IBM Verify 应用程序
      • 语音 OTP
    10. 选择 “添加规则”
      规则类型将添加到策略规则列表。
  2. 编辑或删除规则。
    1. 选择您要修改规则的策略。
    2. 编辑选择“编辑草稿”。
    3. 在“策略规则”部分,单击要编辑的规则旁 编辑 边的。
      您可以更改规则名称。 添加条件、 修改现有条件运算符或数值, 或更改规则的操作。
    4. 选择 “下一步”
    5. 可选: 在“策略规则”部分,您可以使用 和 向下箭头 图标来 向上箭头 设置规则的评估顺序。
      按降序进行评估。 缺省规则始终排在最后。
    6. 可选: 在“策略规则”部分,您可以使用“删除”图标 垃圾桶图标 来删除一条规则。
    7. 选择 “保存草稿 ”。