Lernprogramm: Verwenden Sie Zero Trust-Zugriff

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Verfahren zur Verwendung der Zero Trust Access-Funktion mit einem End-to-End-Anwendungsfall.

    Vorbereitungen

    Erforderliche Rolle: security_admin

    Aktivieren Sie die Eigenschaft „Sitzungszugriff aktivieren“.

    Hinweis:
    • Konfigurationen des Sitzungszugriffs können nur mit der Rolle „ security_admin “ durchgeführt werden. Sie müssen Ihre Rolle auf security_adminerhöhen.
    • Der Sitzungszugriff unterstützt keine Integrationen.
    • Der Sitzungszugriff hat keine Auswirkungen, wenn die reduzierte oder eingeschränkte Rolle keinem Anwender zugewiesen ist. In diesem Fall gibt es keine Änderungen an der angemeldeten Sitzung. Der Anwender greift weiterhin mit den ihm zugewiesenen Berechtigungen auf die Instanz zu.
    • Der Sitzungszugriff hat keine Auswirkungen, wenn der Benutzer bereits bei der Instanz angemeldet ist und gleichzeitig der Administrator die Richtlinie konfiguriert. Der Benutzer muss sich von der Sitzung abmelden, damit die Richtlinie wirksam wird.
    • Der Sitzungszugriff wird zum Zeitpunkt der Anmeldung erzwungen. Jede Änderung der Risikoparameter während der Sitzung führt nicht zu einem reduzierten Zugriff. Wenn beispielsweise ein Benutzer nach dem Herstellen der Sitzung vom Unternehmensnetzwerk zu einem nicht vertrauenswürdigen Netzwerk wechselt, wird der Zugriff nur eingeschränkt, wenn er sich abmeldet und erneut anmeldet.

    Der Sitzungszugriff ist eine Funktion, mit der Administratoren einen Satz von Rollen für den Anwender dynamisch reduzieren oder einschränken können, wenn der Anwender versucht, sich aus verschiedenen Umgebungen bei der Instanz anzumelden, z. B. über das nicht vertrauenswürdige Netzwerk oder von einem anderen Gerät usw.

    Der Sitzungszugriff kann durch die erstellte Richtlinie und die ausgewählte Aktion bei der Konfiguration gesteuert werden. Einige der Szenarien sind wie folgt:

    • Wenn die Richtlinie auf true festgelegt ist und die Aktion für Rollen auf Rollen entfernenfestgelegt ist, werden die ausgewählten Rollen und die zugehörigen untergeordneten Rollen für den Benutzer entfernt, wenn er versucht, sich bei der Instanz anzumelden.
    • Wenn die Richtlinie auf true festgelegt ist und die Aktion für Rollen auf Auf Rollen beschränkenfestgelegt ist, werden dem Benutzer nur die ausgewählten Rollen und die zugehörigen untergeordneten Rollen zugewiesen, wenn er versucht, sich bei der Instanz anzumelden.

    Im folgenden Verfahren wird eine End-to-End-Konfiguration für den Sitzungszugriff erläutert, auf deren Grundlage die Rolle auf den Benutzer beschränkt wird, der sich bei der Instanz anmeldet. Auf ähnliche Weise können Sie auch Rollen entfernen, indem Sie während der Konfiguration die Option Rollen entfernen auswählen.

    Prozedur

    1. Navigieren zu Alle > Sitzungszugriff > Konfigurationen der Sitzungszugriffsrollean.
    2. Wählen Sie auf der Seite Konfigurationen der Sitzungszugriffsrolle Neu.
    3. Um eine Rolle für den Anwender einzuschränken, füllen Sie im Formular die Felder aus:
      • Name
      • Beschreibung
      • Richtlinie
      • Aktion
      • Rollenliste
      • Gruppenliste
      1. Wählen Sie Auf Rollen beschränken, um die Rollen für den Benutzer zu beschränken.
        Beispiel: itil.
      2. Wählen Sie eine Wissensrolle aus der Rollenliste aus.
      3. Wählen Sie die Richtlinieaus.

        Sie können die Richtlinie für den Sitzungszugriff mithilfe von Authentifizierungsrichtlinien und Filterkriterien (Rolle, Gruppe, IP, Standort) mit Richtlinieneingaben und -bedingungen erstellen.

        Verwenden Sie die Richtlinie in der Konfiguration des Sitzungszugriffs. Beispielsweise möchten Sie die Rolle (Wissen) auf den Benutzer beschränken, der sich außerhalb des Standorts (Australien) anmeldet.

      4. Wählen Sie Aktion als Auf Rollen begrenzen.
        Wenn die Richtlinie auf „true“ festgelegt ist, sind nur die ausgewählten Rollen und die zugehörigen untergeordneten Rollen für den Benutzer verfügbar, wenn er versucht, sich bei der Instanz anzumelden.Eingeschränkte Rolle.
      5. Wählen Sie Absenden.

        Ebenso können Sie die Gruppe aus der Gruppenliste auswählen, um Rollen für die Benutzer innerhalb der Gruppe einzuschränken oder zu entfernen.

      Wenn sich der Anwender bei der Instanz außerhalb Australiens anmeldet, werden nur die Rolle „Knowledge “ und die zugehörigen untergeordneten Rollen für die protokollierte Sitzung zugewiesen, und andere Rollen sind für den Anwender eingeschränkt.

      Nach der Anmeldung wird dem Benutzer im Profilabschnitt der Plattform die folgende Fehlermeldung angezeigt:

      Fehlermeldung nach Anmeldung.

      Der Benutzer kann sich an die Administratoren wenden und die Korrelations-ID für Untersuchungen angeben.

      Hinweis:
      Die Korrelations-ID ist die sys_id des entsprechenden Audit-Datensatzes in der Audit-Tabelle für den Sitzungszugriff.