Configurar atributo de IdP para acesso à sessão

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 2 min. de leitura

    • Use o atributo do provedor de identidade (IDP) criado a partir da resposta do Security Assertion Markup Language (SAML) para remover ou restringir o acesso da sessão do usuário à instância.

    Antes de Iniciar

    Função necessária: security_admin

    Habilite a propriedade habilitar acesso à sessão.

    Nota:
    Para usar a configuração de função de acesso à sessão, se promova como security_admin.

    O acesso à sessão pode ser controlado pela política criada e pela ação selecionada ao executar a configuração. Estes são alguns dos cenários:

    • Se a Política for verdadeira e a ação de funções estiver definida como Remover funções junto com a entrada e a condição do atributo IDP, as funções selecionadas e suas funções secundárias associadas serão removidas para o usuário ao tentar fazer login na instância.
    • Se a política for verdadeira e a ação de funções estiver definida como Limitar a funções junto com a entrada e a condição do atributo IDP, somente as funções selecionadas e suas funções secundárias associadas serão atribuídas ao usuário ao tentar fazer login na instância.

    O procedimento a seguir mostra as etapas para configurar o atributo IDP da resposta SAML de uma entrada de política para controlar o acesso à sessão.

    Procedimento

    1. Navegar até Tudo > Acesso à sessão > Configurações de função de acesso à sessão.
    2. Na página “Configurações de função de acesso à sessão”, selecione “Novo”.
    3. Para remover qualquer função do usuário, preencha os campos a seguir no formulário:
      • Nome
      • Descrição
      • Política
      • Ação
      • Lista de funções
      • Lista de grupos
      1. Escolha “Remover funções” para remover funções do usuário. Por exemplo: itil.
      2. Escolha a função itil na lista de funções.
      3. Escolha a Política. Para saber mais sobre como criar políticas usando diferentes critérios de filtro com a criação de política de Autenticação adaptável, consulte Critérios de filtro.
      4. Escolha Ação como “Remover funções”. Quando a política for verdadeira e a ação de funções estiver definida como “Remover funções”, as funções selecionadas serão removidas para o usuário ao tentar fazer login na instância.
      5. Na Entrada de política, crie a Entrada de política e a Condição de política. Por exemplo:
        • Entrada de política: atributo de pontuação de risco do Okta (IDP).
        • Condições da política: condição de pontuação de risco definida entre 60 a 80.
        Pontuação de risco do atributo de identidade

        Com base nessa configuração, quando o valor do atributo de pontuação de risco do Okta (IDP) passa de 80, o usuário não é autenticado com as funções (funcionário) e suas funções secundárias que foram removidas para a instância, o usuário só é autenticado com outro funções atribuídas. Se a pontuação de risco estiver entre 60 e 80, o usuário será autenticado na instância com todas as funções.

        Para obter mais informações sobre como criar a Política do contexto de pós-autenticação com políticas de entrada e condição, consulte Contexto de pós-autenticação.

        Nota:
        Se a propriedade Habilitar acesso à sessão estiver inativa, a configuração do acesso à sessão não restringirá nem removerá as funções do usuário.
      6. Selecione Enviar.