Impliziten Zugriff auf Standarddomains verwenden

Anmelde-Policy

Um das Risiko zu minimieren, dass der Administrator der Standardidentitätsdomain gesperrt wird, erstellt das System einen impliziten Break Glass-Workflow. Dieser Workflow wird erstellt, wenn die folgenden Bedingungen gelten:

• Der Benutzer, der auf die Konsole zugreift, ist Administrator.
• Der Benutzer greift auf die Standarddomain zu.
• In der anwendbaren Anmelde-Policy für die Konsole ist keine spezifische Verweigerungsanweisung vorhanden.

Beispiel:

In diesem Szenario werden die folgenden Benutzer verwendet: admin1, admin2, admin3 und user1.

Anforderungen:

• Alle Benutzer sind Mitglieder der Standarddomain.
• Die Anmelde-Policy ist mit den folgenden Regeln in derselben Reihenfolge konfiguriert.
  Hinweis
  
  Der Benutzer admin3 ist Mitglied von group1.
  • Regel 1: Allow all administrators access except exclude the admin2.
  • Regel 2: Allow all users who are members of group group1 access.

Ergebnisse:

• admin1: Zugriff zulässig. Keine der Anmelderegeln stimmt überein, keine explizite Ablehnung, Administrator und Zugriff auf die Standarddomain.
• admin2: Zugriff abgelehnt. Dem Benutzer admin2 wird in Regel 1 explizit der Zugriff verweigert.
• admin3: Zugriff zulässig. Der Benutzer admin3 ist ein Administrator und Mitglied von group1.
• user1: Zugriff abgelehnt. Der Benutzer user1 stimmt mit keinen Regeln überein.

Identitätsprovider-Policy

Das System löst einen impliziten Break Glass-Workflow für den Konsolenzugriff aus, wenn die Identitätsproviderregel der Identitätsprovider-Policy nur mit einem SAML- oder SOCIAL-(OIDC-)Identitätsprovider konfiguriert ist. In solchen Fällen zeigt das System beim Zugriff auf die Standarddomain der Konsole immer die Anmeldeseite der Konsole an, anstatt den Benutzer an einen Remote-Föderationspartner umzuleiten.