条件访问策略

基础介绍

条件访问（Conditional Access）是对访问上下文进行判断，最终得到一个访问决策的过程，通过条件访问策略可以针对不同情况的访问进行不同的决策，例如不同应用的二次认证要求不同。

自定义策略需要单独购买后才可使用（条件访问计费说明），默认策略可免费使用。

基本概念

添加自定义条件访问策略

单击登录 > 条件访问策略 > 添加策略即可开始添加。最多可以添加10条自定义策略。

第一步：填写基础信息

• 策略名称：填写该策略的名称，该名称仅会在控制台展示，不会向最终用户展示。

• 优先级：每次访问仅会命中一条条件访问策略，通过设置优先级可以做灵活的访问控制。需要填写1～100 的数值，数值越小则优先级越高。

第二步：设置访问对象

访问对象即是受保护的应用，可以选择全部应用或指定应用。

• 全部应用：访问任意应用时，都满足该条件。

• 指定应用：访问指定的应用时，才满足该条件。指定应用可以选择IDaaS的应用门户，或者在该实例中自行创建的各类应用。

第三步：设置访问者

访问者即是发起访问的账户，可以选择全部账户、全部组或指定账户。

• 全部账户：任何账户都满足该条件。

• 全部组：只要账户是任意组的称呼，即满足该条件。

• 指定账户：指定的账户才满足该条件。可以通过直接选择账户，或者通过组织或组来选择账户。

此外，通过排除访问者，您可以指定这些被排除的账户不会满足该条件，也即不会命中该条件策略。

第四步：设置限制条件

网络范围是可以单独指定的实体，通过该能力您可以动态地调整IP地址而无需修改其他配置，在网络范围中可以进行单独指定。可以选择不限制网络范围或指定网络范围。

• 不限制网络范围：访问者使用任何网络范围（IP）都满足该条件。

• 指定网络范围：访问中使用指定的网络范围（IP）访问时，才满足该条件。

第五步：访问决策

当账户的访问满足策略的所有条件时，将命中该策略，与此同时IDaaS将对本次访问执行访问决策，实施允许访问、拒绝访问或要求进行二次认证。

• 允许访问：当命中策略时，允许本次访问。此时可通过更灵活的配置进一步提高访问的安全性或便捷性：

  • 选择二次认证模式：控制是否还需要进行二次认证。

    • 不需要二次认证：账户不需要再进行二次认证，可直接访问应用。

    • 自定义二次认证：账户需要进行二次认证，且必须使用指定的二次认证方式。例如针对高敏感应用可要求使用更严格二次认证方式。

  • 选择二次认证方式：在此处选择账户需要使用的二次认证方式（可多选），选择后必须使用其中一种方式进行二次认证。

  • 自动通过二次认证：如果账户已经是登录状态，而且目前的会话满足本次访问的条件访问策略，则可以无须二次认证。例如，A、B应用都设置了相同的条件访问策略，要求使用短信验证码进行二次认证，当账户完成了A应用的访问后，访问B应用时无须进行二次认证。

  • 自动通过二次认证有效期：在此处可设置该能力的有效期，以确保该能力不被滥用，保障访问安全性。

• 拒绝访问：当命中策略时，拒绝本次访问。

删除自定义条件访问策略

您可以手动删除自定义条件访问策略，删除前需禁用策略。为了避免影响用户的正常访问，建议在禁用后对用户访问进行观察，确保无异常后进行删除。删除后不可恢复。

默认条件访问策略

默认条件访问策略作为最低优先级的策略，针对所有账户和应用永久生效，不可调整范围和限制条件。如需开启或关闭二次认证，或调整二次认证方式，需前往二次认证页面进行修改。

典型场景和用法