Konfigurieren Sie das IDP-Attribut für den Sitzungszugriff

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Verwenden Sie das Attribut Identity Provider (IDP), das aus der Antwort der Security Assertion Markup Language (SAML) erstellt wurde, um den Zugriff von Anwendersitzungen auf die Instanz zu entfernen oder einzuschränken.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Aktivieren Sie die Eigenschaft „Sitzungszugriff aktivieren“.

    Hinweis:
    Um die Rollenkonfiguration für den Sitzungszugriff zu verwenden, müssen Sie Ihre Rolle auf security_adminerhöhen.

    Der Sitzungszugriff kann durch die erstellte Richtlinie und die ausgewählte Aktion bei der Konfiguration gesteuert werden. Einige der Szenarien sind wie folgt:

    • Wenn die Richtlinie auf „true“ festgelegt ist und die Aktion „Rollen“ zusammen mit der IDP-Attributeingabe und -bedingung auf „Rollen entfernen“ festgelegt ist, werden die ausgewählten Rollen und die zugehörigen untergeordneten Rollen für den Anwender entfernt, wenn er versucht, sich bei der Instanz anzumelden.
    • Wenn die Richtlinie auf „true“ festgelegt ist und die Aktion für Rollen zusammen mit der IDP-Attributeingabe und -bedingung auf Auf Rollen beschränken festgelegt ist, werden dem Anwender nur die ausgewählten Rollen und die zugehörigen untergeordneten Rollen zugewiesen, wenn er versucht, sich bei der Instanz anzumelden.

    Das folgende Verfahren zeigt Schritte zum Konfigurieren des IDP-Attributs aus der SAML-Antwort einer Richtlinieneingabe zur Steuerung des Sitzungszugriffs.

    Prozedur

    1. Navigieren zu Alle > Sitzungszugriff > Konfigurationen der Sitzungszugriffsrolle.
    2. Wählen Sie auf der Seite Konfigurationen der Sitzungszugriffsrolle Neu.
    3. Um eine Rolle für den Anwender zu entfernen, füllen Sie im Formular die folgenden Felder aus:
      • Name
      • Beschreibung
      • Richtlinie
      • Aktion
      • Rollenliste
      • Gruppenliste
      1. Wählen Sie Rollen entfernen aus, um Rollen für den Anwender zu entfernen.
        Beispiel: itil.
      2. Wählen Sie die Rolle itil aus der Rollenliste aus.
      3. Wählen Sie die Richtlinieaus.
        Weitere Informationen zum Erstellen von Richtlinien mit verschiedenen Filterkriterien bei der Richtlinienerstellung für die adaptive Authentifizierung finden Sie unter Filterkriterien.
      4. Wählen Sie als Aktion Rollen entfernen aus.
        Wenn die Richtlinie auf true festgelegt ist und die Aktion für Rollen auf Rollen entfernenfestgelegt ist, werden die ausgewählten Rollen für den Benutzer entfernt, wenn er versucht, sich bei der Instanz anzumelden.
      5. Erstellen Sie in der Richtlinieneingabe die Richtlinieneingabe und die Richtlinienbedingung.
        Zum Beispiel:
        • Richtlinieneingabe: Risikopunktzahlattribut von Okta (IDP).
        • Richtlinienbedingungen: Risikopunktzahl von 60 bis 80 als Bedingung.
        Risikopunktzahl für Identitätsattribut

        Wenn der Attributwert der Risikopunktzahl von Okta (IDP) basierend auf dieser Konfiguration 80 übersteigt, wird der Benutzer nicht mit den Rollen (Mitarbeiter) und den untergeordneten Rollen authentifiziert, die für die Instanz entfernt wurden, sondern nur mit anderen Rollen zugewiesen. Wenn die Risikopunktzahl zwischen 60 und 80 liegt, wird der Benutzer bei der Instanz mit allen Rollen authentifiziert.

        Weitere Informationen zum Erstellen der Richtlinie des Nachauthentifizierungskontexts mit Richtlinieneingaben und Bedingung finden Sie unter Kontext nach der Authentifizierung.

        Hinweis:
        Wenn die Eigenschaft „Sitzungszugriff aktivieren“ inaktiv ist, schränkt die Konfiguration für den Sitzungszugriff die Rollen des Anwenders nicht ein oder entfernt sie.
      6. Wählen Sie Absenden.