Konfigurieren Sie die kontinuierliche Authentifizierung

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer

    • Konfigurieren Sie Richtlinien für die kontinuierliche Authentifizierung (CA), um die Anwender erneut zu authentifizieren, wenn versucht wird, auf von Ihnen geschützte Ressourcen zuzugreifen.

    Vorbereitungen

    • Erforderliche Rolle: Administrator (ca_admin)
      Hinweis:
      Sie müssen Ihre Rolle auf ca_adminerhöhen.
    • Sie müssen Zero Trust – Kontinuierliche Authentifizierung (com.snc.zero_trust_continuation_authentication) installieren, um CA zu wählen, für das eine Lizenz erforderlich ist.
    • Aktivieren Sie die Systemeigenschaft Kontinuierliche Authentifizierung (glide.zta.continuous_authentication.enabled). Weitere Informationen finden Sie unter Systemeigenschaften.
    • Aktivieren Sie das Plugin Integration – Single Sign-on-Installationsprogramm für mehrere Anbieter (com.snc.integration.sso.multi.installer).
    • Machen Sie sich mit den Vorarbeiten vertraut, die erforderlich sind, bevor Sie CA für die Instanz konfigurieren. Weitere Informationen finden Sie unter Vorarbeiten für kontinuierliche Authentifizierung.
    • CA-Richtlinien können für Datenklasse oder Tabelle konfiguriert werden.

    Prozedur

    1. Navigieren zu Alle > Kontinuierliche Authentifizierung.
    2. Wählen Sie die Registerkarte Richtlinien.
    3. Wählen Sie Neu.
    4. Füllen Sie im Formular die folgenden Felder aus:
      Tabelle : 1. Kontinuierliche Authentifizierung
      Feld Beschreibung
      Richtlinienname Name der Richtlinie
      Beschreibung Allgemeine Beschreibung der Richtlinie
      Ressourcen auswählen Optionen:
      • Datenklasse. Sie können eine Datenklasse erstellen und für die CA-Richtlinienkonfiguration verwenden. Im Folgenden finden Sie die Beispieldatenklassen, die ausgewählt werden können:
        • Intern
        • Personenbezogene Informationen
        • Beschränkt
        • Vertraulich
        • Öffentlich
        Hinweis:
        Weitere Informationen zum Erstellen von Datenklassen finden Sie unter Datenklassifizierung.
      • Tabelle
      Hinweis:
      • Die mit Metadaten ausgewählte Tabelle zeigt einen Fehler an.
      • Sie müssen überprüfen, ob Sie den Zugriff auf die Metadatentabelle tatsächlich einschränken möchten, da dies den Konfigurationszugriff für Ihre Anwender beeinträchtigen kann.
      • Die Tabellen „sys_properties“, „sys_continuation_auth_policy“und „sys_user“ sind für CA ausgeschlossen und können der CA-Richtlinienkonfiguration nicht hinzugefügt werden.
      CA Policy-Datensatz
      Hinweis:
      Sie können eine der Anmeldemethoden für die CA-Richtlinie verwenden:
      • SSO-basierte Anmeldung: Geben Sie die Felder auf der Registerkarte Kontinuierliche Authentifizierung im Identitätsanbieter-Datensatz an, und legen Sie dann den Identitätsanbieter-Datensatz als Aktivfest. Kontinuierliche Authentifizierung – Registerkarteninformationen

        Weitere Informationen zur Konfiguration von Identitätsanbietern finden Sie unter OIDC und SAML.

      • Nicht-SSO-basierte Anmeldung: Wenn kein Identitätsanbieter mit kontinuierlicher Authentifizierungskonfiguration vorhanden ist, wird standardmäßig die Multifaktor-Authentifizierung (MFA) als Anmeldemethode verwendet. Stellen Sie sicher, dass die MFA-Eigenschaften aktiv und entsprechend Ihren Anforderungen konfiguriert sind. Weitere Informationen zu MFA-Eigenschaften finden Sie unter Systemeigenschaften der Multifaktor-Authentifizierung.
    5. Wählen Sie Speichern und aktivieren aus.

    Ergebnisse

    Basierend auf den für die Konfiguration angegebenen Details wird eine CA-Richtlinie mit Zugriffssteuerungsliste (ACL) für die ausgewählte Tabelle oder Datenklasse erstellt. Sie können die Details der ACLs anzeigen, die durch Auswahl von ACLs anzeigen auf der Richtlinienseite erstellt werden.

    CA-ACL-Details

    Die erstellte CA-Richtlinie fordert den Anwender zur Authentifizierung auf, um auf die Tabelle oder Datenklasse zuzugreifen, die Sie mit der Richtlinie geschützt haben, basierend auf den folgenden Szenarien.

    • Anwender, die eine lokale Anmeldung bei der Instanz durchgeführt haben, werden mit Plattform-MFA für Step-up-Authentifizierung angezeigt.
      MFA-SMS
      Hinweis:
      Der zuletzt verwendete MFA-Faktor des Anwenders wird zur Authentifizierung angezeigt.
    • Anwender, die SSO-Anmeldungen (OIDC oder SAML) verwendet haben, um sich bei der Instanz anzumelden, werden mit SSO zur erneuten Authentifizierung angezeigt.
      SSO – Bildschirm

    Für den Anwender wird jetzt eine Sitzung mit hoher Sicherheit eingerichtet. Sitzung mit hoher Sicherheit ist auf die Systemeigenschaft Länge der Sitzung mit hoher Sicherheit (glide.zta.high_assurance.session.timeout) beschränkt. Wenn die Sitzungszeit mit hoher Sicherheit die Eigenschaftslänge überschreitet, wird der Benutzer zur erneuten Authentifizierung oder zur Erhöhung der Authentifizierung aufgefordert.

    Weitere Informationen zur End-to-End-Konfiguration der kontinuierlichen Authentifizierung für Tabellen oder Daten finden Sie unter: