Creación de una política de conexión

La política de conexión se guarda en estado desactivado. Cuando termine de crear la política, debe activar la política para utilizarla.

• Autenticación de Proveedor de Identidad (Opcional): introduzca o seleccione todos los proveedores de identidad que se utilizan para autenticar las cuentas de usuario evaluadas por esta regla. Si deja este campo vacío, se utilizarán las demás condiciones para la autenticación.
• Afiliación a un grupo: introduzca o seleccione los grupos de los que el usuario debe ser miembro para cumplir los criterios de esta regla. Debe introducir al menos tres caracteres para iniciar una búsqueda de grupos.
• Administrador: si el usuario debe estar asignado a roles de administrador en el dominio de identidad para cumplir los criterios de esta regla, seleccione esta casilla de control.

• Mantener conexión: seleccione esta opción para aplicar la regla solo si existe una Sesión de conexión válida para el usuario.

  Para utilizar esta condición, debe activar Mantenerme conectado. Consulte Modificación de los valores de sesión.

  La política de conexión sustituye la sesión Mantenerme conectado. Esto significa que, aunque un usuario esté conectado mediante Mantenerme conectado, una vez que caduque la sesión, si la política requiere una nueva autenticación o una autenticación multifactor (MFA), se le desafía a volver a autenticarse o a proporcionar una MFA.

• Excluir usuarios: introduzca o seleccione los usuarios que desea excluir de la regla. Debe introducir al menos tres caracteres para iniciar una búsqueda de usuarios.
  Importante
  
  Asegúrese de excluir un administrador de dominio de identidad de cada política, lo que garantiza que al menos un administrador siempre tenga acceso al dominio de identidad si surgen problemas.
• Filtrar por dirección IP de cliente: seleccione una de las siguientes opciones:

  • En cualquier lugar: los usuarios pueden conectarse al dominio de identidad mediante cualquier dirección IP.

  • Restringir a los siguientes perímetros de red: los usuarios solo pueden conectarse al dominio de identidad utilizando las direcciones IP incluidas en los perímetros de red definidos. En el cuadro de texto Perímetros de red, introduzca o seleccione perímetros de red que haya definido. Para obtener más información, consulte Creación de un perímetro de red.

Si selecciona Denegar acceso, pase al siguiente paso.

Si selecciona Permitir acceso, introduzca valores para las siguientes opciones adicionales:

• Petición de datos para la nueva autenticación: seleccione esta casilla de control para forzar al usuario a volver a introducir las credenciales para acceder a la aplicación asignada incluso cuando haya una sesión de dominios de IAM existente.
  • Si se selecciona, esta opción evita la conexión única para las aplicaciones asignadas a la política de conexión. Por ejemplo, un usuario autenticado debe conectarse a una nueva aplicación.
  • Si no se selecciona, y el usuario se ha autenticado previamente, el usuario puede acceder a la aplicación mediante su sesión de conexión única existente sin necesidad de introducir credenciales
• Solicitar un factor adicional: seleccione esta casilla de control para solicitar al usuario un factor adicional para conectarse al dominio de identidad.

  Si selecciona esta casilla de control, debe especificar si el usuario debe inscribirse en la autenticación multifactor (MFA) y con qué frecuencia se utilizará este factor adicional para conectarse.

• Cualquier factor o Solo factores especificados: seleccione una de estas opciones:
  • Cualquier factor: solicita al usuario que se registre y verifique cualquier factor activado en la configuración de nivel de inquilino de MFA.
  • Factores especificados: solo solicita al usuario que se registre y verifica un subjuego de factores activados en la configuración de nivel de inquilino de MFA. Después de seleccionar Factores especificados, seleccione los factores que debe aplicar esta regla.
• Frecuencia: especifique la frecuencia con la que se solicita a los usuarios un segundo factor:
  • Una vez por sesión o dispositivo de confianza: para cada sesión que el usuario haya abierto desde un dispositivo autorizado, debe utilizar su nombre de usuario y contraseña, y un segundo factor.
  • Cada vez: cada vez que un usuario se conecta desde un dispositivo de confianza, deben utilizar sus nombres de usuario y contraseñas, y un segundo factor.
  • Intervalo personalizado: especifique la frecuencia con la que los usuarios deben proporcionar un segundo factor para conectarse. Por ejemplo, si desea que los usuarios utilicen este factor adicional cada dos semanas, haga clic en 14 para el número y seleccione Días para Intervalo. Si ha configurado MFA, este número debe ser menor o igual que el número de días que un dispositivo puede ser de confianza según la configuración de MFA. Para obtener más información, consulte Gestión de autenticación multifactor.
• Inscripción: seleccione una de las siguientes opciones:
  Importante
  
  Defina Inscripción como Opcional hasta que haya terminado de probar la política de conexión.
  • Obligatorio obliga al usuario a inscribirse en MFA.
  • Seleccione Opcional para ofrecer a los usuarios la opción de omitir la inscripción en MFA. Los usuarios verán el proceso de configuración de inscripción en línea después de introducir su nombre de usuario y contraseña, pero pueden hacer clic en Omitir. Los usuarios pueden activar MFA más adelante en el valor de Verificación en 2 pasos en la configuración de Seguridad de Mi perfil. No se solicitará al usuario que configure un factor la siguiente vez que se conecte. Si define Inscripción en Necesario y, posteriormente, cambia a Opcional, el cambio solo afectará a los nuevos usuarios. Los usuarios que ya estén inscritos en la MFA no verán el proceso de inscripción en línea y no podrán hacer clic en Omitir al conectarse