Lernprogramm: Konfigurieren Sie die kontinuierliche Authentifizierung für eine Datenklasse
Verfahren, das die End-to-End-Konfiguration der Richtlinie für die kontinuierliche Authentifizierung für eine Datenklasse und die Auswirkungen der Konfigurationsänderungen auf die Anwender beschreibt.
Vorbereitungen
- Erforderliche Rolle: Administrator (ca_admin)Hinweis:Sie müssen Ihre Rolle auf ca_adminerhöhen.
- Sie müssen Zero Trust – Kontinuierliche Authentifizierung (
com.snc.zero_trust_continuation_authentication) installieren, um CA zu wählen, für das eine Lizenz erforderlich ist. - Aktivieren Sie die Systemeigenschaft Kontinuierliche Authentifizierung (glide.zta.continuous_authentication.enabled). Weitere Informationen finden Sie unter Systemeigenschaften.
- Aktivieren Sie das Plugin Integration – Single Sign-on-Installationsprogramm für mehrere Anbieter (com.snc.integration.sso.multi.installer).
- Machen Sie sich mit den Vorarbeiten vertraut, die erforderlich sind, bevor Sie CA für die Instanz konfigurieren. Weitere Informationen finden Sie unter Vorarbeiten für kontinuierliche Authentifizierung.
Prozedur
-
Füllen Sie im Formular die folgenden Felder aus:
Tabelle : 1. Kontinuierliche Authentifizierung Feld Beschreibung Richtlinienname Name der Richtlinie Beschreibung Allgemeine Beschreibung der Richtlinie Ressourcen auswählen Wählen Sie die Datenklasseaus. Sie können eine Datenklasse erstellen und für die CA-Richtlinienkonfiguration verwenden. Im Folgenden finden Sie die Beispieldatenklassen, die ausgewählt werden können: - Intern
- Personenbezogene Informationen
- Beschränkt
- Vertraulich
- Öffentlich
Hinweis:Weitere Informationen zum Erstellen von Datenklassen finden Sie unter Datenklassifizierung.Hinweis:Sie können eine der Anmeldemethoden für die CA-Richtlinie verwenden:- SSO-basierte Anmeldung: Geben Sie die Felder auf der Registerkarte Kontinuierliche Authentifizierung im Identitätsanbieter-Datensatz an, und legen Sie dann den Identitätsanbieter-Datensatz als Aktivfest.
Weitere Informationen zur Konfiguration von Identitätsanbietern finden Sie unter OIDC und SAML.
- Nicht-SSO-basierte Anmeldung: Wenn kein Identitätsanbieter mit kontinuierlicher Authentifizierungskonfiguration vorhanden ist, wird standardmäßig die Multifaktor-Authentifizierung (MFA) als Anmeldemethode verwendet. Stellen Sie sicher, dass die MFA-Eigenschaften aktiv und entsprechend Ihren Anforderungen konfiguriert sind. Weitere Informationen zu MFA-Eigenschaften finden Sie unter Systemeigenschaften der Multifaktor-Authentifizierung.
Ergebnisse
Basierend auf den für die Konfiguration angegebenen Details wird eine CA-Richtlinie mit Zugriffssteuerungsliste (ACL) für die ausgewählte Tabelle oder Datenklasse erstellt. Sie können die Details der ACLs anzeigen, die durch Auswahl von ACLs anzeigen auf der Richtlinienseite erstellt werden.
Die erstellte CA-Richtlinie fordert den Anwender zur Authentifizierung bei der Datenklasse auf (in diesem Fall der Datenklassensatz für die Tabelle Accountwiederherstellung), die Sie mit der Richtlinie geschützt haben. Benutzer können die Option „Authentifizierung“ auswählen.
Führen Sie die Authentifizierung auf folgender Grundlage durch:
- Anwender, die eine lokale Anmeldung bei der Instanz durchgeführt haben, werden mit Plattform-MFA für Step-up-Authentifizierung angezeigt.
- Anwender, die SSO-Anmeldungen (OIDC oder SAML) verwendet haben, um sich bei der Instanz anzumelden, werden mit SSO zur erneuten Authentifizierung angezeigt.
Nach erfolgreicher Authentifizierung wird die Tabelle mit der Datenklasse angezeigt.
Für den Anwender wird jetzt eine Sitzung mit hoher Sicherheit eingerichtet. Sitzung mit hoher Sicherheit ist auf die Systemeigenschaft Länge der Sitzung mit hoher Sicherheit (glide.zta.high_assurance.session.timeout) beschränkt. Wenn die Sitzungszeit mit hoher Sicherheit die Eigenschaftslänge überschreitet, wird der Benutzer zur erneuten Authentifizierung oder zur Erhöhung der Authentifizierung aufgefordert.