Creazione di un criterio di accesso

• Autenticazione del provider di identità (facoltativo): immettere o selezionare tutti i provider di identità utilizzati per autenticare gli account utente valutati da questa regola. Se si lascia vuoto, per l'autenticazione vengono utilizzate le altre condizioni.
• Appartenenza al gruppo: immettere o selezionare Azione, quindi Aggiungi per aggiungere i gruppi di cui si è membri per soddisfare i criteri di questa regola.
• Amministratore: selezionare questa opzione se l'utente deve essere assegnato ai ruoli amministratore nel dominio di Identity per soddisfare i criteri di questa regola.

  Mantieni collegamento: selezionare questa opzione per applicare la regola solo se esiste una sessione Mantieni collegamento valida per l'utente.

  Per utilizzare questa condizione, è necessario abilitare l'opzione Mantieni collegamento. Vedere Modifica delle impostazioni della sessione.

  Il criterio di accesso consente di eseguire l'override sulla sessione Mantieni accesso. Ciò significa che, anche se un utente ha eseguito l'accesso utilizzando Mantieni connessione, dopo la scadenza della sessione, se il criterio richiede la riautenticazione o l'autenticazione a più fattori (MFA), all'utente viene richiesto di eseguire nuovamente l'autenticazione o di fornire l'autenticazione MFA.

• Escludi utenti: immettere o selezionare gli utenti da escludere dalla regola. Inserire almeno tre caratteri per avviare una ricerca di utenti.
  Importante
  
  Assicurarsi di escludere un amministratore del dominio di Identity da ciascun criterio, in modo da garantire che almeno un amministratore abbia sempre accesso al dominio di Identity in caso di problemi.
• Filtra per indirizzo IP client: selezionare una delle opzioni riportate di seguito.

  • Dove: gli utenti possono collegarsi al dominio di Identity utilizzando qualsiasi indirizzo IP.

  • Limita ai seguenti perimetri di rete: gli utenti possono connettersi al dominio di Identity utilizzando solo gli indirizzi IP contenuti nei perimetri di rete definiti. Nella casella di testo Perimetri di rete immettere o selezionare i perimetri di rete definiti. Per ulteriori informazioni, vedere Creazione di un perimetro di rete.

Se si seleziona Nega accesso, passare al passo successivo.

Se si seleziona Consenti accesso, immettere i valori per le seguenti opzioni aggiuntive:

• Richiedi nuova autenticazione: consente di attivare o disattivare lo switch per forzare l'utente a immettere di nuovo le credenziali per accedere all'applicazione assegnata anche quando è presente una sessione di domini IAM esistente.
  • Se selezionata, questa opzione impedisce il Single Sign-On per le applicazioni assegnate al criterio di accesso. Ad esempio, un utente autenticato deve collegarsi a una nuova applicazione.
  • Se non è selezionata e l'utente ha eseguito l'autenticazione in precedenza, l'utente può accedere all'applicazione utilizzando la sessione Single Sign-On esistente senza dover immettere le credenziali
• Richiedi un fattore aggiuntivo: consente di attivare o disattivare lo switch per richiedere un fattore aggiuntivo per connettersi al dominio di Identity.

  Quando si seleziona questa opzione, specificare se iscriversi all'autenticazione a più fattori (MFA) e la frequenza con cui questo fattore aggiuntivo deve essere utilizzato per l'accesso.

• Qualsiasi fattore o Solo fattori specificati: selezionare una delle seguenti opzioni:
  • Qualsiasi fattore: richiede all'utente di iscriversi e verificare qualsiasi fattore abilitato nelle impostazioni a livello di tenant MFA.
  • Fattori specificati: richiede solo all'utente di iscriversi e verificare un subset di fattori abilitati nelle impostazioni a livello di tenant MFA. Dopo aver selezionato Fattori specificati, selezionare i fattori che devono essere applicati da questa regola.
• Frequenza: specificare la frequenza con cui agli utenti viene richiesto un secondo fattore.
  • Una volta per sessione o dispositivo sicuro: per ogni sessione che l'utente ha aperto da un dispositivo affidabile, deve utilizzare sia il nome utente che le password e un secondo fattore.
  • Ogni volta:: ogni volta che un utente accede da un dispositivo sicuro, deve utilizzare i propri nomi utente e password e un secondo fattore.
  • Intervallo personalizzato: specificare la frequenza con cui gli utenti devono fornire un secondo fattore per accedere. Ad esempio, se si desidera che gli utenti utilizzino questo fattore aggiuntivo ogni due settimane, selezionare 14 per Numero e selezionare Giorni per Intervallo. Se è stato configurato MFA, questo numero deve essere minore o uguale al numero di giorni durante i quali un dispositivo può essere considerato sicuro in base alle impostazioni MFA. Per ulteriori informazioni, vedere Gestione dell'autenticazione con più fattori.
• Iscrizione: selezionare una delle opzioni riportate di seguito.
  Importante
  
  Impostare Iscrizione su Facoltativo fino al completamento del test del criterio di accesso.
  • Obbligatorio forza l'utente a iscriversi all'autenticazione MFA.
  • Selezionare Facoltativo per offrire agli utenti la possibilità di saltare l'iscrizione all'autenticazione MFA. Gli utenti visualizzano il processo di impostazione della registrazione in linea dopo aver immesso il nome utente e la password, ma possono selezionare Ignora. Gli utenti possono quindi abilitare l'autenticazione MFA in un secondo momento dall'impostazione Verifica a 2 passi nelle impostazioni Sicurezza del profilo personale. Agli utenti non viene richiesto di impostare un fattore alla successiva connessione. Se si imposta Iscrizione su Obbligatoria e successivamente si imposta Facoltativo, la modifica interesserà solo i nuovi utenti. Gli utenti già iscritti all'autenticazione MFA non vedranno il processo di iscrizione in linea e non potranno selezionare Ignora al momento dell'accesso