Identity as a Service：條件存取原則

基礎介紹

條件訪問（Conditional Access）是對訪問上下文進行判斷，最終得到一個訪問決策的過程，通過條件存取原則可以針對不同情況的訪問進行不同的決策，例如不同應用的二次認證要求不同。

自訂策略需要單獨購買後才可使用（條件訪問計費說明），預設策略可免費使用。

基本概念

添加自訂條件存取原則

單擊登入 > 條件存取原則 > 添加策略即可開始添加。最多可以添加10條自訂策略。

第一步：填寫基礎資訊

• 策略名稱稱：填寫該策略的名稱，該名稱僅會在控制台展示，不會向終端使用者展示。

• 優先順序：每次訪問僅會命中一條條件存取原則，通過設定優先權可以做靈活的存取控制。需要填寫1～100 的數值，數值越小則優先順序越高。

第二步：設定訪問對象

訪問對象即是受保護的應用，可以選擇全部應用或指定應用。

• 全部應用：訪問任意應用時，都滿足該條件。

• 指定應用：訪問指定的應用時，才滿足該條件。指定應用可以選擇IDaaS的應用門戶，或者在該執行個體中自行建立的各類應用。

第三步：設定訪問者

訪問者即是發起訪問的賬戶，可以選擇全部賬戶、全部組或指定賬戶。

• 全部賬戶：任何賬戶都滿足該條件。

• 全部組：只要賬戶是任意組的稱呼，即滿足該條件。

• 指定賬戶：指定的賬戶才滿足該條件。可以通過直接選擇賬戶，或者通過組織或組來選擇賬戶。

此外，通過排除訪問者，您可以指定這些被排除的賬戶不會滿足該條件，也即不會命中該條件策略。

第四步：設定限制條件

網路範圍是可以單獨指定的實體，通過該能力您可以動態地調整IP地址而無需修改其他配置，在網路範圍中可以進行單獨指定。可以選擇不限制網路範圍或指定網路範圍。

• 不限制網路範圍：訪問者使用任何網路範圍（IP）都滿足該條件。

• 指定網路範圍：訪問中使用指定的網路範圍（IP）訪問時，才滿足該條件。

第五步：訪問決策

當賬戶的訪問滿足策略的所有條件時，將命中該策略，與此同時IDaaS將對本次訪問執行訪問決策，實施允許訪問、拒絕訪問或要求進行二次認證。

• 允許訪問：當命中策略時，允許本次訪問。此時可通過更靈活的配置進一步提高訪問的安全性或便捷性：

  • 選擇二次認證模式：控制是否還需要進行二次認證。

    • 不需要二次認證：賬戶不需要再進行二次認證，可直接存取應用。

    • 自訂二次認證：賬戶需要進行二次認證，且必須使用指定的二次認證方式。例如針對高敏感應用可要求使用更嚴格二次認證方式。

  • 選擇二次認證方式：在此處選擇賬戶需要使用的二次認證方式（可多選），選擇後必須使用其中一種方式進行二次認證。

  • 自動通過二次認證：如果賬戶已經是登入狀態，而且目前的會話滿足本次訪問的條件存取原則，則可以無須二次認證。例如，A、B應用都設定了相同的條件存取原則，要求使用簡訊驗證碼進行二次認證，當賬戶完成了A應用的訪問後，訪問B應用時無須進行二次認證。

  • 自動通過二次認證有效期間：在此處可設定該能力的有效期間，以確保該能力不被濫用，保障訪問安全性。

• 拒絕訪問：當命中策略時，拒絕本次訪問。

刪除自訂條件存取原則

您可以手動刪除自訂條件存取原則，刪除前需禁用策略。為了避免影響使用者的正常訪問，建議在禁用後對使用者訪問進行觀察，確保無異常後進行刪除。刪除後不可恢複。

預設條件存取原則

預設條件存取原則作為最低優先順序的策略，針對所有賬戶和應用永久生效，不可調整範圍和限制條件。如需開啟或關閉二次認證，或調整二次認證方式，需前往二次認證頁面進行修改。

典型情境和用法