Création d'une stratégie de connexion

Ajoutez une stratégie de connexion à un domaine d'identité dans IAM.

Cette tâche permet d'ajouter une stratégie de connexion à l'état Désactivé. Une fois cette tâche terminée, vous devez activer la stratégie pour commencer à l'appliquer dans le domaine d'identité.

Vous pouvez définir les critères suivants pour les stratégies de connexion :
  • Fournisseurs d'identités à utiliser pour authentifier l'utilisateur

  • Groupes dont l'utilisateur est membre

  • Si l'utilisateur est un administrateur de domaine d'identité

  • Si un utilisateur doit être exclu

  • Adresse IP que l'utilisateur emploie pour se connecter au domaine d'identité

  • Si l'utilisateur est contraint de se reconnecter au domaine d'identité (à des fins d'authentification) ou s'il est authentifié lors de sa prochaine connexion au domaine d'identité

  • Si l'utilisateur est invité à demander un autre facteur pour se connecter au domaine d'identité

  1. Sur la page de liste Stratégies de connexion, sélectionnez Créer une stratégie de connexion. Si vous avez besoin d'aide pour trouver la page de liste, reportez-vous à Liste des stratégies de connexion.
  2. Entrez le nom et la description facultative de la stratégie. Evitez de saisir des informations confidentielles.
  3. Sélectionnez Créer une stratégie de connexion.
  4. Dans l'onglet Règles de connexion, sélectionnez Ajouter une règle de connexion.
  5. Ajoutez un nom pour la règle de connexion. Evitez de saisir des informations confidentielles.
  6. Sous Conditions, fournissez les informations suivantes :
    • Authentification du fournisseur d'identités (facultatif) : entrez ou sélectionnez tous les fournisseurs d'identités utilisés pour authentifier les comptes utilisateur évalués par cette règle. Si vous laissez ce champ vide, les autres conditions sont utilisées pour l'authentification.
    • Adhésion à un groupe : entrez ou sélectionnez Action, puis Ajouter pour ajouter des groupes dont vous êtes membre afin de répondre aux critères de cette règle.
    • Administrateur : sélectionnez cette option si l'utilisateur doit être affecté à des rôles d'administrateur dans le domaine d'identité pour respecter les critères de cette règle.

      Rester connecté : sélectionnez cette option pour appliquer la règle uniquement s'il existe une session Rester connecté valide pour l'utilisateur.

      Pour utiliser cette condition, vous devez activer l'option Rester connecté. Reportez-vous à la section Changing Session Settings.

      La stratégie de connexion prime sur la session Rester connecté. Cela signifie que même si un utilisateur est connecté avec l'option Rester connecté, une fois la session expirée, si la stratégie requiert une nouvelle authentification ou une authentification à plusieurs facteurs, l'utilisateur est invité à se réauthentifier ou à fournir une authentification à plusieurs facteurs.

    • Exclure des utilisateurs : entrez ou sélectionnez les utilisateurs à exclure de la règle. Vous devez entrer au moins trois caractères pour lancer une recherche d'utilisateurs.
      Important

      Veillez à exclure un administrateur de domaine d'identité de chaque stratégie, ce qui garantit qu'au moins un administrateur a toujours accès au domaine d'identité en cas de problème.
    • Filtrer par adresse IP client : sélectionnez l'une des options suivantes :
      • Partout : les utilisateurs peuvent se connecter au domaine d'identité à l'aide de l'adresse IP de leur choix.

      • Limiter aux périmètres réseau suivants : les utilisateurs peuvent se connecter au domaine d'identité uniquement à l'aide des adresses IP contenues dans les périmètres réseau définis. Dans la zone de texte Périmètres réseau, entrez ou sélectionnez les périphériques réseau définis. Pour plus d'informations, reportez-vous à Création d'un périmètre réseau.

  7. Conditions de sécurité adaptatives : sélectionnez le niveau de risque utilisateur, la plage, le nom du fournisseur de risque, le score de risque et la valeur de risque.
  8. Sous Actions, indiquez si un utilisateur est autorisé à accéder à la console si le compte utilisateur répond aux critères de cette règle.

    Si vous sélectionnez Refuser l'accès, passez à l'étape suivante.

    Si vous sélectionnez Autoriser l'accès, entrez des valeurs pour les options supplémentaires suivantes :

    • Invite pour la réauthentification : basculez le commutateur pour forcer l'utilisateur à saisir à nouveau les informations d'identification pour accéder à l'application affectée, même lorsqu'il existe une session de domaines IAM.
      • Si cette option est sélectionnée, elle empêche l'accès avec connexion unique pour les applications affectées à la stratégie de connexion. Par exemple, un utilisateur authentifié doit se connecter à une nouvelle application.
      • Si cette option n'est pas sélectionnée et que l'utilisateur s'est précédemment authentifié, il peut accéder à l'application à l'aide de sa session SSO existante sans avoir à saisir d'informations d'identification et de connexion.
    • Invite pour un facteur supplémentaire : basculez le commutateur pour inviter un facteur supplémentaire à se connecter au domaine d'identité.

      Lorsque vous sélectionnez cette option, indiquez s'il faut s'inscrire à l'authentification à plusieurs facteurs et la fréquence à laquelle ce facteur supplémentaire doit être utilisé pour se connecter.

    • Tous les facteurs ou Facteurs spécifiés uniquement : sélectionnez l'une des options suivantes :
      • N'importe quel facteur : invite l'utilisateur à s'inscrire et à vérifier tout facteur activé dans les paramètres d'authentification à plusieurs facteurs au niveau du locataire.
      • Facteurs spécifiés : invite uniquement l'utilisateur à s'inscrire et à vérifier un sous-ensemble de facteurs activés dans les paramètres d'authentification à plusieurs facteurs au niveau du locataire. Une fois que vous avez sélectionné Facteurs spécifiés, sélectionnez les facteurs devant être appliqués par cette règle.
    • Fréquence : indiquez la fréquence à laquelle les utilisateurs sont invités à saisir un deuxième facteur :
      • Une fois par session ou par appareil sécurisé : pour chaque session que l'utilisateur a ouverte à partir d'un appareil faisant autorité, il doit utiliser à la fois son nom utilisateur et son mot de passe, ainsi qu'un second facteur.
      • A chaque fois : chaque fois qu'un utilisateur se connecte à partir d'un appareil sécurisé, il doit utiliser son nom utilisateur et son mot de passe, ainsi qu'un second facteur.
      • Intervalle personnalisé : indiquez la fréquence à laquelle les utilisateurs doivent fournir un second facteur pour se connecter. Par exemple, si vous voulez que les utilisateurs utilisent ce facteur supplémentaire toutes les deux semaines, sélectionnez 14 pour le nombre et jours pour l'intervalle. Si vous avez configuré l'AMF, ce nombre doit être inférieur ou égal au nombre de jours pendant lesquels un appareil peut être sécurisé selon les paramètres d'AMF. Pour plus d'informations, reportez-vous à Gestion de l'authentification à plusieurs facteurs.
    • Inscription : Sélectionnez l'une des options suivantes :
      Important

      Définissez Inscription sur Facultatif jusqu'à ce que vous ayez terminé le test de la stratégie de connexion.
      • Obligatoire oblige l'utilisateur à s'inscrire à l'authentification à plusieurs facteurs.
      • Sélectionnez Facultatif pour donner aux utilisateurs la possibilité d'ignorer l'inscription à l'authentification à plusieurs facteurs. Les utilisateurs voient le processus incorporé de configuration de l'inscription une fois qu'ils ont saisi leur nom utilisateur et leur mot de passe, mais ils peuvent sélectionner Sauter. Les utilisateurs peuvent activer l'FA ultérieurement à partir du paramètre de vérification en 2 étapes dans les paramètres de sécurité de mon profil. Les utilisateurs ne sont pas invités à configurer un facteur lors de leur prochaine connexion. Si vous définissez Inscription sur Requis et que vous passez ultérieurement sur Facultatif, la modification concerne uniquement les nouveaux utilisateurs. Les utilisateurs déjà inscrits à l'authentification à plusieurs facteurs ne verront pas le processus d'inscription en ligne et ne pourront pas sélectionner Ignorer lors de leur connexion
  9. Sélectionnez Ajouter.
  10. (Facultatif) Sur la page Ajouter un règle de connexion, sélectionnez de nouveau Ajouter un règle de connexion pour ajouter un autre règle de connexion à cette stratégie.
    Remarque

    Si vous avez ajouté plusieurs règles de connexion à cette stratégie, vous pouvez modifier leur ordre d'évaluation. Sélectionnez Modifier la priorité, puis utilisez les flèches pour modifier l'ordre des règles.
  11. Dans l'onglet Applications, sélectionnez Ajouter une application pour ajouter des applications à cette stratégie.
  12. Dans le panneau Ajouter une application, sélectionnez les applications à ajouter à la stratégie, puis sélectionnez Ajouter une application.
    Remarque

    Vous pouvez ajouter une application donnée à une seule stratégie de connexion. Si l'application n'est affectée explicitement à aucune stratégie de connexion, la stratégie de connexion par défaut s'applique.

  13. La stratégie de connexion est enregistrée à l'état Désactivé. Lorsque vous avez terminé la création de la stratégie, vous devez l'activer pour l'utiliser.