Poprzedni temat Następny temat

Dostęp warunkowy

Dostęp warunkowy (CA) to proces zezwalania na dostęp do zasobów IT w oparciu o zdefiniowane wcześniej warunki. Tworząc polityki dostępu na podstawie typów urządzeń użytkowników, czasu dostępu, adresów IP lub geolokalizacji, możesz ściśle kontrolować dostęp do swojej sieci i danych. CA zapewnia dodatkowe bezpieczeństwo i pomaga zapobiegać atakom hakerów na zasoby IT.

ADSelfService Plus zapewnia dostęp warunkowy, aby upewnić się, że tylko autoryzowani użytkownicy mają dostęp do stacji roboczych, aplikacji, punktów końcowych i różnych funkcji dostępnych w ADSelfService Plus.

Zrozumienie, jak działa dostęp warunkowy w ADSelfService Plus

Dostęp warunkowy opiera się na określonych kryteriach, które są poddawane funkcji logicznej w celu stworzenia warunku. Użytkownicy, którzy spełniają ten warunek, uzyskują dostęp do ADSelfService Plus na podstawie określonej polityki, nazywanej regułą CA. Ta reguła określa, która polityka samoobsługowa zostanie zastosowana do użytkownika, co z kolei determinuje metody uwierzytelniania wieloskładnikowego (MFA), aplikacje w chmurze oraz funkcje samoobsługowe, które są włączone dla tego użytkownika.

Kryteria

Kryteria to czynniki związane z użytkownikiem, takie jak typ urządzenia, adres IP lub geolokalizacja. W tej sekcji możesz zarówno zdefiniować swoje kryteria, jak i je wybrać, aby określić swój warunek w razie potrzeby. Możesz definiować i wybierać swoje kryteria na podstawie następujących czynników:

Adres IP: Możesz wybrać rodzaj adresów IP, dla których konfigurowana jest reguła dostępu warunkowego: statyczne adresy IP, adresy IP serwera proxy, adresy IP VPN. Możesz również zdefiniować, czy określone przez Ciebie adresy IP są zaufane czy nie.

Urządzenie: Twoje kryteria mogą obejmować konkretne obiekty komputerowe i/lub platformę (Windows, macOS, Linux, aplikacja internetowa na urządzenia mobilne lub natywna aplikacja mobilna), na której działają.

Godziny pracy: Możesz określić zarówno godziny pracy, jak i godziny poza pracą, a także wybrać, które z nich chcesz użyć jako kryterium dla swojego warunku.

Geolokalizacja: Twoje kryteria mogą być definiowane na podstawie tego, gdzie użytkownik się znajduje i z jakiego miejsca uzyskuje dostęp do ADSelfService Plus.

Uwaga: Warunek oparty na geolokalizacji polega na adresie IP użytkownika w celu określenia lokalizacji. Dlatego będą oceniane tylko połączenia z publicznych adresów IP. To kryterium nie obejmie użytkowników z prywatnymi adresami IP.

Warunki

Po zdefiniowaniu i włączeniu kryteriów na podstawie swoich potrzeb, możesz połączyć włączone kryteria za pomocą operatorów AND, OR oraz NOT, aby sformułować warunek. Ten warunek określi, jak różne kryteria są oceniane w celu określenia wyniku żądania dostępu.

Na przykład, załóżmy, że Twoi użytkownicy znajdują się na całym świecie, z wyjątkiem niektórych krajów. Musisz zapewnić, aby uzyskiwali dostęp do zasobów tylko w godzinach pracy i tylko z zaufanych adresów IP. W takim przypadku musisz włączyć:

1. Kryteria adresu IP (z zaufanymi adresami IP).
2. Kryteria godzin pracy (z dozwolonymi godzinami).
3. Kryteria geolokalizacji (z krajami, w których nie masz użytkowników).

Następnie możesz użyć funkcji logicznej, takiej jak ta poniżej, aby sformułować swój warunek:

Warunek: 1 AND 2 AND (NOT 3)

Reguła dostępu warunkowego

Dzięki skojarzeniu warunków i kryteriów z jedną lub więcej politykami samoobsługowymi tworzysz regułę dostępu warunkowego. Polityka samoobsługowa pozwala aktywować funkcje produktu i skonfigurować, jak powinien działać dla różnych grup użytkowników na podstawie ich przynależności do jednostek organizacyjnych (OU) oraz członkostwa w grupie.

Jeśli utworzysz wiele reguł dostępu warunkowego, możesz wybrać, które z nich mają być priorytetowe. Jeśli użytkownik spełnia warunki wielu reguł CA, reguła o najwyższym priorytecie będzie miała zastosowanie, a następnie polityki samoobsługowe powiązane z tą regułą zostaną zastosowane do użytkownika. Jeśli użytkownik nie podlega żadnej regule dostępu warunkowego, wtedy polityki samoobsługowe będą stosowane na podstawie priorytetu ustawionego dla polityk na stronie Konfiguracji Polityki.

Konfigurowanie dostępu warunkowego

Konfiguracja reguł

1. Zaloguj się do ADSelfService Plus jako administrator.
2. Przejdź do Konfiguracja > Samoobsługa > Dostęp warunkowy > Konfiguracja reguł.
3. Kliknij Skonfiguruj nową regułę dostępu warunkowego (CA).
4. Wprowadź Nazwę Reguły CA i Opis.
5. Wybierz Kryteria na podstawie swoich wymagań: oparte na adresach IP, urządzeniach, godzinach pracy lub geolokalizacji.

Uwaga: Te kryteria stanowią podstawę do podjęcia decyzji. Możesz zarówno zdefiniować kryteria, jak i je włączyć w tej sekcji.

• Oparte na adresie IP



• Wybierz typy adresów IP, zaznaczając odpowiednie pola:
• Dla użytkowników, którzy łączą się z Twoją siecią bezpośrednio za pośrednictwem swoich komputerów klienckich, możesz włączyć Static IP.
• Jeśli Twoi użytkownicy łączą się przez serwer proxy, możesz włączyć Proxy Server IP.
• Jeśli Twoi użytkownicy łączą się przez serwer VPN, możesz włączyć VPN IP. Aby upewnić się, że dostęp warunkowy oparty na adresie IP działa dla funkcji MFA VPN, zapoznaj się z tą sekcją, aby wprowadzić wymagane zmiany w rozszerzeniu NPS.

Uwaga: Jeśli włączyłeś wszystkie trzy typy adresów IP, stosuje się następująca zasada: * (Static IP AND Proxy IP) OR VPN IP.

• Wybierz, czy wprowadzone adresy IP są Ufnymi czy Nieużywanymi.
• Dla statycznych adresów IP, wprowadź zakres adresów IP w polach Zakres IP. Użyj ikony +, aby dodać więcej zakresów IP. Możesz również wprowadzić pojedyncze adresy IP i użyć * jako znaku wieloznacznego do wyboru całej klasy adresów IP.
• Oparte na urządzeniach



• Zaznacz pole Komputery, a następnie kliknij ikonę +.
• W oknie dialogowym Wybierz komputer kliencki, które się otworzy, wybierz domenę, a następnie obiekty komputerowe. Kliknij OK.
• Zaznacz pole Platformy, a następnie użyj rozwijanego menu, aby wybrać platformy. Możesz wybierać spośród Windows, macOS, Linux, aplikacji mobilnej w sieci oraz natywnej aplikacji mobilnej.
• Oparte na godzinach pracy



• Zaznacz pole Godziny pracy.
• Wybierz, czy chcesz skonfigurować godziny pracy, czy godziny nocne, klikając odpowiedni przycisk radiowy.
• Z podanego zakresu dni i godzin skonfiguruj swoje godziny pracy lub godziny nocne.

Uwaga : Czas będzie zastosowany na podstawie strefy czasowej, którą wybrałeś w ustawieniu znajdującym się w Admin > Personalizuj > Strefa czasowa.

• Na podstawie geolokalizacji



• Zaznacz pole wyboru Geolokalizacja.
• Wybierz odpowiednie Kraje z rozwijanego menu.
6. Warunek jest automatycznie tworzony na podstawie kryteriów, które włączyłeś. Jeśli utworzony warunek spełnia Twoje wymagania, nie musisz go zmieniać. Zmień go tylko, jeśli jesteś pewien, że nie spełnia Twoich wymagań. Możesz używać operatorów AND, OR i NOT, aby stworzyć logikę.
7. Kliknij Konfiguruj.

Przydzielanie reguł

1. Zaloguj się do ADSelfService Plus jako administrator.
2. Przejdź do Konfiguracja > Samoobsługa > Dostęp warunkowy > Przydzielanie reguł.



3. Wybierz regułę, którą chcesz przydzielić, z rozwijanego menu.
4. Wybierz politykę, do której chcesz przypisać tę regułę.
Uwaga: Odnosi się to do polityki samoobsługowej, którą możesz skonfigurować, przechodząc do Konfiguracja > Samoobsługa > Konfiguracja polityki. Aby dowiedzieć się więcej, zapoznaj się z tą stroną.

Warto zauważyć, że wybrana polityka będzie miała zastosowanie do użytkownika tylko wtedy, gdy:

• Użytkownik spełnia regułę.
• Użytkownik jest uwzględniony w wybranej polityce.
Przykład: Rozważ trzy polityki samoobsługowe, A, B i C oraz dwie reguły dostępu warunkowego, 1 i 2. Załóżmy, że użytkownik należy do polityk A i B. Powiedzmy, że obie polityki A i C są przypisane do reguły 1. Jeśli użytkownik spełnia regułę 1, to tylko polityka A zostanie przypisana użytkownikowi, ponieważ należy on tylko do polityki A.
5. Również zezwól lub zablokuj dostęp do jednolitego logowania NTLM oraz dostępu do portalu ADSelfService Plus. Te ustawienia będą miały zastosowanie wszędzie tam, gdzie spełniona jest wybrana reguła.
Uwaga: Opcja zezwolenia lub zablokowania jednolitego logowania NTLM będzie włączona tylko wtedy, gdy uwierzytelnianie NTLM jest skonfigurowane w ustawieniach logowania.

Ustalanie priorytetów reguł dostępu warunkowego

Jeśli utworzyłeś wiele reguł dostępu warunkowego, możesz ustawić priorytet dla każdej reguły, aby reguła o najwyższym priorytecie była stosowana do użytkowników, którzy podlegają wielu regułom.

Aby ustalić priorytety reguł dostępu warunkowego:

1. Na stronie konfiguracji dostępu warunkowego kliknij ikonę zmiany priorytetu w prawym górnym rogu (obok przycisku Konfiguruj nową regułę dostępu warunkowego (CA)).
2. Przeciągnij reguły i uporządkuj je zgodnie z Twoimi wymaganiami. Reguła na górze będzie miała najwyższy priorytet.

Zmiana, kopiowanie, dezaktywacja i usuwanie reguł dostępu warunkowego

Reguła może być zmieniana w celu zmiany warunków lub logiki warunków, kopiowana w celu utworzenia nowej reguły, dezaktywowana lub usuwana.

1. Przejdź do strony konfiguracji dostępu warunkowego (Konfiguracja > Samoobsługa > Dostęp warunkowy).
2. Zobaczysz tabelę zawierającą wszystkie utworzone reguły dostępu warunkowego.
3. W kolumnie Akcje kliknij ikonę według akcji, którą chcesz wykonać.
4. Przełącz i ikony do włączania lub wyłączania reguły. Jeśli widoczna jest ikona ☑, oznacza to, że reguła jest włączona, a jeśli widoczna jest ikona ☒, oznacza to, że reguła jest wyłączona.
5. Kliknij na ikonę, aby zmodyfikować regułę.
6. Kliknij na ikonę, aby skopiować regułę i utworzyć nową regułę na jej podstawie.
7. Kliknij na ikonę, aby usunąć regułę.

Poprzedni temat Następny temat