Konfigurieren Sie das IdP-Attribut für den Sitzungszugriff

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Verwenden Sie das IDP-Attribut (Identitätsanbieter), das aus der SAML-Antwort (Security Assertion Markup Language) erstellt wurde, um den Benutzersitzungszugriff auf die Instanz zu entfernen oder einzuschränken.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Aktivieren Sie die Eigenschaft Sitzungszugriff aktivieren.

    Hinweis:
    Um die Rollenkonfiguration „Sitzungszugriff“ zu verwenden, müssen Sie Ihre Rolle auf security_adminerhöhen.

    Der Sitzungszugriff kann durch die erstellte Richtlinie und die ausgewählte Aktion bei der Konfiguration gesteuert werden. Einige der Szenarien sind:

    • Wenn die Richtlinie auf „Wahr“ festgelegt ist und die Rollenaktion zusammen mit der IDP-Attributeingabe und -bedingung auf Rollen entfernen festgelegt ist, werden die ausgewählten Rollen und die zugehörigen untergeordneten Rollen für den Benutzer entfernt, wenn er versucht, sich bei der Instanz anzumelden.
    • Wenn die Richtlinie auf „wahr“ festgelegt ist und die Rollenaktion zusammen mit der IDP-Attributeingabe und -bedingung auf Auf Rollen beschränken festgelegt ist, werden dem Benutzer beim Versuch, sich bei der Instanz anzumelden, nur die ausgewählten Rollen und die zugehörigen untergeordneten Rollen zugewiesen.

    Das folgende Verfahren zeigt Schritte zum Konfigurieren des IDP-Attributs aus der SAML-Antwort für eine Richtlinieneingabe zur Steuerung des Sitzungszugriffs.

    Prozedur

    1. Navigieren zu Alle > Sitzungszugriff > Konfigurationen der Sitzungszugriffsrolle.
    2. Wählen Sie auf der Seite „Konfigurationen der Sitzungszugriffsrolle“ die Option Neuaus.
    3. Um eine Rolle für den Benutzer zu entfernen, füllen Sie im Formular die folgenden Felder aus:
      • Name
      • Beschreibung
      • Richtlinie
      • Aktion
      • Rollenliste
      • Gruppenliste
      1. Wählen Sie Rollen entfernen aus, um Rollen für den Benutzer zu entfernen.
        Beispiel: itil.
      2. Wählen Sie die itil- Rolle aus der Rollenliste aus.
      3. Wählen Sie die Richtlinieaus.
        Weitere Informationen zum Erstellen von Richtlinien mit verschiedenen Filterkriterien mithilfe der Richtlinienerstellung für die adaptive Authentifizierung finden Sie unter Filterkriterien.
      4. Wählen Sie Aktion als Rollen entfernen aus.
        Wenn die Richtlinie auf true festgelegt ist und die Rollenaktion auf Rollen entfernenfestgelegt ist, werden die ausgewählten Rollen für den Benutzer entfernt, wenn er versucht, sich bei der Instanz anzumelden.
      5. Erstellen Sie in der Richtlinieneingabe die Richtlinieneingabe und die Richtlinienbedingung.
        Beispiel:
        • Richtlinieneingabe: Risikopunktzahlattribut von Okta (IDP).
        • Policenbedingungen: Risikopunktzahl von 60 bis 80 als Bedingung.
        Risikopunktzahl des Identitätsattributs

        Wenn basierend auf dieser Konfiguration der Risikopunktzahl-Attributwert von Okta (IDP) 80 überschreitet, wird der Benutzer nicht mit den Rollen (employee) und den untergeordneten Rollen authentifiziert, die aus der Instanz entfernt wurden, sondern nur mit anderen Rollen zugewiesen. Wenn die Risikopunktzahl zwischen 60 und 80 liegt, wird der Benutzer bei der Instanz mit allen Rollen authentifiziert.

        Weitere Informationen zum Erstellen der Richtlinie des Kontexts nach der Authentifizierung mit Richtlinieneingaben und Bedingung finden Sie unter Kontext nach der Authentifizierung.

        Hinweis:
        Wenn die Eigenschaft Sitzungszugriff aktivieren inaktiv ist, werden die Rollen des Benutzers durch die Konfiguration für Sitzungszugriff nicht eingeschränkt oder entfernt.
      6. Wählen Sie Absenden.