全部產品
Search
文件中心

Identity as a Service:條件存取原則

更新時間:Sep 24, 2024

本文介紹條件訪問能力的概念、配置和常見用法。

基礎介紹

條件訪問(Conditional Access)是對訪問上下文進行判斷,最終得到一個訪問決策的過程,通過條件存取原則可以針對不同情況的訪問進行不同的決策,例如不同應用的二次認證要求不同。

自訂策略需要單獨購買後才可使用(條件訪問計費說明),預設策略可免費使用。

基本概念

概念

說明

自訂策略

可以自訂訪問者、訪問對象、限制條件等各項條件,需要單獨選購條件訪問模組後使用。

預設策略

IDaaS EIAM執行個體預設提供的系統策略,可通過二次認證進行調整,無法自訂各項條件。

訪問條件

包括訪問對象、訪問者、限制條件等條件,只有訪問上下文滿足策略的所有條件後,才會命中訪問決策,否則會自動進行更低優先順序策略的判斷。

訪問決策

當滿足所有訪問條件後對訪問進行決策,實施允許訪問、拒絕訪問或要求進行二次認證。

添加自訂條件存取原則

單擊登入 > 條件存取原則 > 添加策略即可開始添加。最多可以添加10條自訂策略。

image

第一步:填寫基礎資訊

  • 策略名稱稱:填寫該策略的名稱,該名稱僅會在控制台展示,不會向終端使用者展示。

  • 優先順序:每次訪問僅會命中一條條件存取原則,通過設定優先權可以做靈活的存取控制。需要填寫1~100 的數值,數值越小則優先順序越高。

image

第二步:設定訪問對象

訪問對象即是受保護的應用,可以選擇全部應用指定應用

  • 全部應用:訪問任意應用時,都滿足該條件。

  • 指定應用:訪問指定的應用時,才滿足該條件。指定應用可以選擇IDaaS的應用門戶,或者在該執行個體中自行建立的各類應用。

image

第三步:設定訪問者

訪問者即是發起訪問的賬戶,可以選擇全部賬戶全部組指定賬戶

  • 全部賬戶:任何賬戶都滿足該條件。

  • 全部組:只要賬戶是任意組的稱呼,即滿足該條件。

  • 指定賬戶:指定的賬戶才滿足該條件。可以通過直接選擇賬戶,或者通過組織或組來選擇賬戶。

image

此外,通過排除訪問者,您可以指定這些被排除的賬戶不會滿足該條件,也即不會命中該條件策略。

image

第四步:設定限制條件

網路範圍是可以單獨指定的實體,通過該能力您可以動態地調整IP地址而無需修改其他配置,在網路範圍中可以進行單獨指定。可以選擇不限制網路範圍指定網路範圍

  • 不限制網路範圍:訪問者使用任何網路範圍(IP)都滿足該條件。

  • 指定網路範圍:訪問中使用指定的網路範圍(IP)訪問時,才滿足該條件。

image

第五步:訪問決策

當賬戶的訪問滿足策略的所有條件時,將命中該策略,與此同時IDaaS將對本次訪問執行訪問決策,實施允許訪問、拒絕訪問或要求進行二次認證。

  • 允許訪問:當命中策略時,允許本次訪問。此時可通過更靈活的配置進一步提高訪問的安全性或便捷性:

    • 選擇二次認證模式:控制是否還需要進行二次認證。

      • 不需要二次認證:賬戶不需要再進行二次認證,可直接存取應用。

      • 自訂二次認證:賬戶需要進行二次認證,且必須使用指定的二次認證方式。例如針對高敏感應用可要求使用更嚴格二次認證方式。

    • 選擇二次認證方式:在此處選擇賬戶需要使用的二次認證方式(可多選),選擇後必須使用其中一種方式進行二次認證。

    • 自動通過二次認證:如果賬戶已經是登入狀態,而且目前的會話滿足本次訪問的條件存取原則,則可以無須二次認證。例如,A、B應用都設定了相同的條件存取原則,要求使用簡訊驗證碼進行二次認證,當賬戶完成了A應用的訪問後,訪問B應用時無須進行二次認證。

    • 自動通過二次認證有效期間:在此處可設定該能力的有效期間,以確保該能力不被濫用,保障訪問安全性。

  • 拒絕訪問:當命中策略時,拒絕本次訪問。

image

重要

訪問決策拒絕訪問時,賬戶在命中策略時,將無法訪問對應的應用。如果將IDaaS應用門戶設定為拒絕訪問,將導致使用者無法登入到IDaaS應用門戶,請謹慎操作。且添加或修改策略後,策略約在3分鐘後延時生效。

刪除自訂條件存取原則

您可以手動刪除自訂條件存取原則,刪除前需禁用策略。為了避免影響使用者的正常訪問,建議在禁用後對使用者訪問進行觀察,確保無異常後進行刪除。刪除後不可恢複。

預設條件存取原則

預設條件存取原則作為最低優先順序的策略,針對所有賬戶和應用永久生效,不可調整範圍和限制條件。如需開啟或關閉二次認證,或調整二次認證方式,需前往二次認證頁面進行修改。

典型情境和用法

情境

條件存取原則

策略配置

說明

僅辦公IP才可登入IDaaS(或某個應用)

策略1

  • 優先順序:1

  • 應用範圍:全部

  • 訪問者範圍:全部

  • 用戶端網路範圍:您的辦公IP

  • 訪問決策:允許訪問

更高優先順序,符合IP條件時可允許訪問

策略2

  • 優先順序:2

  • 應用範圍:全部

  • 訪問者範圍:全部

  • 用戶端網路範圍:不限制

  • 訪問決策:拒絕訪問

更低優先順序,無法命中策略1時,將被拒絕訪問

指定應用需要使用進階:WebAuthn安全登入進行二次認證

策略3

  • 優先順序:1

  • 應用範圍:指定需要保護的應用

  • 訪問者範圍:全部

  • 用戶端網路範圍:不限制

  • 訪問決策:允許訪問

    • 選擇二次認證模式:自訂二次認證,選擇WebAuthn

    • 自動通過二次認證:均可

訪問被指定的應用時,需要使用WebAuthn(本機指紋、人臉等)進行二次認證

高敏感應用每次訪問都需要進行二次認證

策略4

  • 優先順序:1

  • 應用範圍:指定需要保護的應用

  • 訪問者範圍:全部

  • 用戶端網路範圍:不限制

  • 訪問決策:允許訪問

    • 選擇二次認證模式:自訂二次認證

    • 自動通過二次認證:關閉

每次單點登入到應用時,都需要進行二次認證

針對組A和組B的賬戶,訪問要求不同

策略5

  • 優先順序:1

  • 應用範圍:全部

  • 訪問者範圍:組 A

  • 用戶端網路範圍:不限制

  • 訪問決策:允許訪問

針對組A的條件存取原則

策略6

  • 優先順序:1

  • 應用範圍:全部

  • 訪問者範圍:組B

  • 用戶端網路範圍:不限制

  • 問決策:允許訪問

    • 選擇二次認證模式:自訂二次認證

針對組B的條件存取原則