Anmelde-Policy erstellen
Fügen Sie einer Identitätsdomain in IAM eine Anmelde-Policy hinzu.
Mit dieser Aufgabe wird eine Anmelde-Policy in einem deaktivierten Status hinzugefügt. Nach Abschluss dieser Aufgabe müssen Sie die Policy aktivieren, damit sie in der Identitätsdomain durchgesetzt wird.
-
Die Identitätsprovider zur Authentifizierung des Benutzers
-
Die Gruppen, bei denen der Benutzer Mitglied ist
-
Ob der Benutzer ein Identitätsdomainadministrator ist
-
Ob ein Benutzer ausgeschlossen werden soll
-
IP-Adresse, mit der sich der Benutzer bei der Identitätsdomain anmeldet
-
Ob der Benutzer erneut zur Anmeldung bei der Identitätsdomain (zu Authentifizierungszwecken) oder bei der nächsten Anmeldung bei der Identitätsdomain erforderlich ist
-
Ob der Benutzer zur Eingabe eines anderen Faktors für die Anmeldung bei der Identitätsdomain aufgefordert wird
- Wählen Sie auf der Listenseite Anmelde-Policys die Option Anmelde-Policy erstellen aus. Wenn Sie Hilfe bei der Suche nach der Listenseite benötigen, finden Sie weitere Informationen unter Anmelde-Policys auflisten.
- Geben Sie einen Namen und eine optionale Beschreibung für die Policy ein. Geben Sie keine vertraulichen Informationen ein.
- Wählen Sie Anmelde-Policy erstellen aus.
- Wählen Sie auf der Registerkarte Anmelderegeln die Option Anmelderegel hinzufügen aus.
- Fügen Sie einen Namen für die Anmelderegel hinzu. Geben Sie dabei keine vertraulichen Informationen ein.
-
Geben Sie unter Bedingungen die folgenden Informationen an:
- Identitätsprovider authentifizieren (optional): Geben Sie alle Identitätsprovider ein, die zur Authentifizierung der von dieser Regel geprüften Benutzeraccounts verwendet werden, oder wählen Sie sie aus. Wenn Sie dieses Feld leer lassen, werden die anderen Bedingungen für die Authentifizierung verwendet.
- Gruppenmitgliedschaft: Geben Sie die Aktion ein, oder wählen Sie sie aus. Fügen Sie dann Hinzufügen hinzu, um Gruppen hinzuzufügen, denen Sie angehören, um die Kriterien dieser Regel zu erfüllen.
- Administrator: Wählen Sie diese Option aus, wenn der Benutzer Administratorrollen in der Identitätsdomain zugewiesen sein muss, um die Kriterien dieser Regel zu erfüllen.
Anmeldung beibehalten: Wählen Sie diese Option aus, um die Regel nur anzuwenden, wenn eine gültige Anmeldesession beibehalten für den Benutzer vorhanden ist.
Um diese Bedingung verwenden zu können, müssen Sie Angemeldet bleiben aktivieren. Siehe Sessioneinstellungen ändern.
Die Anmelde-Policy setzt die Angemeldet bleiben-Session außer Kraft. Wenn die Policy eine erneute Authentifizierung oder Multifaktor-Authentifizierung (MFA) erfordert, wird der Benutzer nach Ablauf der Session aufgefordert, sich erneut zu authentifizieren, selbst wenn er mit der Option Angemeldet bleiben angemeldet ist.
- Benutzer ausschließen: Geben Sie die Benutzer ein, die aus der Regel ausgeschlossen werden sollen, oder wählen Sie sie aus. Sie müssen mindestens drei Zeichen eingeben, um eine Benutzersuche zu starten. Wichtig
Stellen Sie sicher, dass Sie einen Identitätsdomainadministrator von jeder Policy ausschließen. Dadurch wird sichergestellt, dass mindestens ein Administrator immer Zugriff auf die Identitätsdomain hat, wenn Probleme auftreten. - Nach Client-IP-Adresse filtern: Wählen Sie eine der folgenden Optionen aus:
-
Überall: Benutzer können sich mit einer beliebigen IP-Adresse bei der Identitätsdomain anmelden.
-
Auf die folgenden Netzwerkperimeter beschränken: Benutzer können sich bei der Identitätsdomain nur mit IP-Adressen anmelden, die in definierten Netzwerkperimetern enthalten sind. Geben Sie im Textfeld Netzwerkperimeter Netzwerkperimeter ein, oder wählen Sie sie aus. Weitere Informationen finden Sie in Creating a Network Perimeter.
-
- Adaptive Sicherheitsbedingungen: Wählen Sie die Benutzerrisikostufe, den Bereich, den Namen des Risikoproviders, den Risikoscore und den Risikowert aus.
-
Wählen Sie unter Aktionen aus, ob ein Benutzer auf die Konsole zugreifen darf, wenn der Benutzeraccount die Kriterien dieser Regel erfüllt.
Wenn Sie Zugriff verweigern auswählen, fahren Sie mit dem nächsten Schritt fort.
Wenn Sie Zugriff zulassen auswählen, geben Sie Werte für die folgenden zusätzlichen Optionen ein:
- Eingabeaufforderung zur erneuten Authentifizierung: Schalten Sie den Schalter um, um zu erzwingen, dass der Benutzer erneut Zugangsdaten für den Zugriff auf die zugewiesene Anwendung eingibt, selbst wenn eine IAM-Domainsession vorhanden ist.
- Wenn diese Option ausgewählt ist, wird Single Sign-On für die Anwendungen verhindert, die der Anmelde-Policy zugewiesen sind. Beispiel: Ein authentifizierter Benutzer muss sich bei einer neuen Anwendung anmelden.
- Wenn diese Option nicht aktiviert ist und der Benutzer sich zuvor authentifiziert hat, kann der Benutzer über seine vorhandene Single Sign-On-Session auf die Anwendung zugreifen, ohne Zugangsdaten eingeben zu müssen.
- Prompt für einen zusätzlichen Faktor: Schalten Sie den Switch um, um zur Eingabe eines zusätzlichen Faktors zur Anmeldung bei der Identitätsdomain aufzufordern.
Geben Sie bei Auswahl dieser Option an, ob Sie sich für die Multifaktor-Authentifizierung (MFA) anmelden möchten und wie oft dieser zusätzliche Faktor für die Anmeldung verwendet werden soll.
- Beliebiger Faktor oder Nur angegebene Faktoren: Wählen Sie eine der folgenden Optionen aus:
- Jeder Faktor: Fordert den Benutzer auf, sich zu registrieren, und einen beliebigen Faktor zu prüfen, der in den Einstellungen auf MFA-Mandantenebene aktiviert ist.
- Angegebene Faktoren: Fordert den Benutzer nur auf, sich zu registrieren, und prüft eine Teilmenge der Faktoren, die in den Einstellungen auf MFA-Mandantenebene aktiviert sind. Nachdem Sie Angegebene Faktoren ausgewählt haben, wählen Sie Faktoren aus, die von dieser Regel durchgesetzt werden müssen.
- Häufigkeit: Geben Sie an, wie oft Benutzer zur Eingabe eines zweiten Faktors aufgefordert werden:
- Einmal pro Session oder vertrauenswürdigem Gerät: Für jede Session, die der Benutzer über ein autoritatives Gerät geöffnet hat, muss er sowohl Benutzernamen und Kennwörter als auch einen zweiten Faktor verwenden.
- Immer: Jedes Mal, wenn sich ein Benutzer von einem vertrauenswürdigen Gerät aus anmeldet, muss er seine Benutzernamen und Kennwörter sowie einen zweiten Faktor verwenden.
- Benutzerdefiniertes Intervall: Geben Sie an, wie oft Benutzer einen zweiten Faktor für die Anmeldung verwenden müssen. Beispiel: Wenn Benutzer diesen zusätzlichen Faktor alle zwei Wochen verwenden sollen, wählen Sie 14 als Zahl aus, und wählen Sie Tage als Intervall aus. Wenn Sie MFA konfiguriert haben, muss diese Zahl kleiner/gleich der Anzahl der Tage sein, an denen ein Gerät gemäß den MFA-Einstellungen vertrauenswürdig sein kann. Weitere Informationen finden Sie unter Multifaktor-Authentifizierung verwalten.
- Anmeldung: Wählen Sie eine der folgenden Optionen:Wichtig
Setzen Sie die Option Registrierung auf Optional, bis Sie mit dem Testen der Anmelde-Policy fertig sind.- Erforderlich zwingt den Benutzer, sich bei MFA anzumelden.
- Wählen Sie Optional aus, damit Benutzer die Anmeldung bei MFA überspringen können. Benutzern wird der Setupprozess für die Inlineanmeldung angezeigt, nachdem sie ihren Benutzernamen und ihr Kennwort eingegeben haben. Sie können jedoch Überspringen auswählen. Benutzer können MFA dann später über die Einstellung Verifizierung in 2 Schritten in den Sicherheitseinstellungen von "Mein Profil" aktivieren. Benutzer werden bei der nächsten Anmeldung nicht aufgefordert, einen Faktor einzurichten. Wenn Sie Registrierung auf Erforderlich setzen und später in Optional ändern, betrifft die Änderung nur neue Benutzer. Benutzer, die bereits für MFA angemeldet sind, sehen den Inline-Registrierungsprozess nicht und können bei der Anmeldung nicht Überspringen auswählen
- Eingabeaufforderung zur erneuten Authentifizierung: Schalten Sie den Schalter um, um zu erzwingen, dass der Benutzer erneut Zugangsdaten für den Zugriff auf die zugewiesene Anwendung eingibt, selbst wenn eine IAM-Domainsession vorhanden ist.
- Wählen Sie Hinzufügen aus.
- (Optional) Wählen Sie auf der Seite Anmelderegeln hinzufügen erneut Anmelderegel hinzufügen aus, um dieser Policy eine weitere Anmelderege hinzuzufügen.
Hinweis
Wenn Sie dieser Policy mehrere Anmelderegeln hinzugefügt haben, können Sie die Reihenfolge ändern, in der sie ausgewertet werden. Wählen Sie Priorität bearbeiten aus, und ändern Sie die Reihenfolge der Regeln mit den Pfeilen. - Wählen Sie auf der Registerkarte Anwendungen die Option Anwendung hinzufügen aus, um Anwendungen zu dieser Policy hinzuzufügen.
-
Wählen Sie im Bereich Anwendung hinzufügen die Anwendungen aus, die Sie der Policy hinzufügen möchten, und wählen Sie Anwendung hinzufügen aus.
Hinweis
Sie können eine Anwendung nur einer Anmelde-Policy hinzufügen. Wenn die Anwendung keiner Anmelde-Policy explizit zugewiesen ist, gilt die Standardanmelde-Policy für die Anwendung.
- Die Anmelde-Policy wird in einem deaktivierten Status gespeichert. Wenn Sie mit dem Erstellen der Policy fertig sind, müssen Sie die Policy aktivieren, damit sie verwendet wird.