条件访问策略

本文介绍条件访问能力的概念、配置和常见用法。

基础介绍

条件访问(Conditional Access)是对访问上下文进行判断,最终得到一个访问决策的过程,通过条件访问策略可以针对不同情况的访问进行不同的决策,例如不同应用的二次认证要求不同。

自定义策略需要单独购买后才可使用(条件访问计费说明),默认策略可免费使用。

基本概念

概念

说明

自定义策略

可以自定义访问者、访问对象、限制条件等各项条件,需要单独选购条件访问模块后使用。

默认策略

IDaaS EIAM实例默认提供的系统策略,可通过二次认证进行调整,无法自定义各项条件。

访问条件

包括访问对象、访问者、限制条件等条件,只有访问上下文满足策略的所有条件后,才会命中访问决策,否则会自动进行更低优先级策略的判断。

访问决策

当满足所有访问条件后对访问进行决策,实施允许访问、拒绝访问或要求进行二次认证。

添加自定义条件访问策略

单击登录 > 条件访问策略 > 添加策略即可开始添加。最多可以添加10条自定义策略。

image

第一步:填写基础信息

  • 策略名称:填写该策略的名称,该名称仅会在控制台展示,不会向最终用户展示。

  • 优先级:每次访问仅会命中一条条件访问策略,通过设置优先级可以做灵活的访问控制。需要填写1~100 的数值,数值越小则优先级越高。

image

第二步:设置访问对象

访问对象即是受保护的应用,可以选择全部应用指定应用

  • 全部应用:访问任意应用时,都满足该条件。

  • 指定应用:访问指定的应用时,才满足该条件。指定应用可以选择IDaaS的应用门户,或者在该实例中自行创建的各类应用。

image

第三步:设置访问者

访问者即是发起访问的账户,可以选择全部账户全部组指定账户

  • 全部账户:任何账户都满足该条件。

  • 全部组:只要账户是任意组的称呼,即满足该条件。

  • 指定账户:指定的账户才满足该条件。可以通过直接选择账户,或者通过组织或组来选择账户。

image

此外,通过排除访问者,您可以指定这些被排除的账户不会满足该条件,也即不会命中该条件策略。

image

第四步:设置限制条件

网络范围是可以单独指定的实体,通过该能力您可以动态地调整IP地址而无需修改其他配置,在网络范围中可以进行单独指定。可以选择不限制网络范围指定网络范围

  • 不限制网络范围:访问者使用任何网络范围(IP)都满足该条件。

  • 指定网络范围:访问中使用指定的网络范围(IP)访问时,才满足该条件。

image

第五步:访问决策

当账户的访问满足策略的所有条件时,将命中该策略,与此同时IDaaS将对本次访问执行访问决策,实施允许访问、拒绝访问或要求进行二次认证。

  • 允许访问:当命中策略时,允许本次访问。此时可通过更灵活的配置进一步提高访问的安全性或便捷性:

    • 选择二次认证模式:控制是否还需要进行二次认证。

      • 不需要二次认证:账户不需要再进行二次认证,可直接访问应用。

      • 自定义二次认证:账户需要进行二次认证,且必须使用指定的二次认证方式。例如针对高敏感应用可要求使用更严格二次认证方式。

    • 选择二次认证方式:在此处选择账户需要使用的二次认证方式(可多选),选择后必须使用其中一种方式进行二次认证。

    • 自动通过二次认证:如果账户已经是登录状态,而且目前的会话满足本次访问的条件访问策略,则可以无须二次认证。例如,A、B应用都设置了相同的条件访问策略,要求使用短信验证码进行二次认证,当账户完成了A应用的访问后,访问B应用时无须进行二次认证。

    • 自动通过二次认证有效期:在此处可设置该能力的有效期,以确保该能力不被滥用,保障访问安全性。

  • 拒绝访问:当命中策略时,拒绝本次访问。

image

重要

访问决策拒绝访问时,账户在命中策略时,将无法访问对应的应用。如果将IDaaS应用门户设置为拒绝访问,将导致用户无法登录到IDaaS应用门户,请谨慎操作。且添加或修改策略后,策略约在3分钟后延时生效。

删除自定义条件访问策略

您可以手动删除自定义条件访问策略,删除前需禁用策略。为了避免影响用户的正常访问,建议在禁用后对用户访问进行观察,确保无异常后进行删除。删除后不可恢复。

默认条件访问策略

默认条件访问策略作为最低优先级的策略,针对所有账户和应用永久生效,不可调整范围和限制条件。如需开启或关闭二次认证,或调整二次认证方式,需前往二次认证页面进行修改。

典型场景和用法

场景

条件访问策略

策略配置

说明

仅办公IP才可登录IDaaS(或某个应用)

策略1

  • 优先级:1

  • 应用范围:全部

  • 访问者范围:全部

  • 客户端网络范围:您的办公IP

  • 访问决策:允许访问

更高优先级,符合IP条件时可允许访问

策略2

  • 优先级:2

  • 应用范围:全部

  • 访问者范围:全部

  • 客户端网络范围:不限制

  • 访问决策:拒绝访问

更低优先级,无法命中策略1时,将被拒绝访问

指定应用需要使用高级:WebAuthn 安全登录进行二次认证

策略3

  • 优先级:1

  • 应用范围:指定需要保护的应用

  • 访问者范围:全部

  • 客户端网络范围:不限制

  • 访问决策:允许访问

    • 选择二次认证模式:自定义二次认证,选择WebAuthn

    • 自动通过二次认证:均可

访问被指定的应用时,需要使用WebAuthn(本机指纹、人脸等)进行二次认证

高敏感应用每次访问都需要进行二次认证

策略4

  • 优先级:1

  • 应用范围:指定需要保护的应用

  • 访问者范围:全部

  • 客户端网络范围:不限制

  • 访问决策:允许访问

    • 选择二次认证模式:自定义二次认证

    • 自动通过二次认证:关闭

每次单点登录到应用时,都需要进行二次认证

针对组A和组B的账户,访问要求不同

策略5

  • 优先级:1

  • 应用范围:全部

  • 访问者范围:组 A

  • 客户端网络范围:不限制

  • 访问决策:允许访问

针对组A的条件访问策略

策略6

  • 优先级:1

  • 应用范围:全部

  • 访问者范围:组B

  • 客户端网络范围:不限制

  • 问决策:允许访问

    • 选择二次认证模式:自定义二次认证

针对组B的条件访问策略