Configurar autenticação contínua
Configure políticas de CA (autenticação contínua) para autenticar novamente os usuários se houver uma tentativa de acessar recursos protegidos por você.
Antes de Iniciar
- Função necessária: administrador (ca_admin)Nota:Você deve elevar sua função para ca_admin.
- Você deve instalar a Autenticação Contínua Zero Trust (
com.snc.zero_trust_contintuous_authentication) para optar pela CA, que requer uma licença. - Habilite a propriedade do sistema Autenticação contínua (glide.zta.continuous_authentication.enabled). Para obter mais informações, consulte Propriedades do sistema.
- Ative o plug-in Integration - Multiple Provider Single Sign-On (com.snc.integration.sso.multi.installer).
- Entenda o pré-trabalho necessário antes de configurar o CA para a instância. Para obter mais informações, consulte Pré-trabalho para autenticação contínua.
- As políticas de CA podem ser configuradas para Classe de dados ou Tabela.
Procedimento
-
No formulário, preencha os campos:
Tabela 1. Autenticação contínua Campo Descrição Nome da política Nome da política Descrição Descrição genérica da política Selecionar os recursos Opções: - Classe de dados. Você pode criar uma classe de dados e usá-la para configuração de política de CA. A seguir estão as classes de dados de amostra que podem ser selecionadas:
- Interno
- Informações de identificação pessoal
- Restrito
- Confidencial
- Público(a)
Nota:Para saber mais sobre como criar uma classe de dados, consulte Classificação de dados. - Tabela
Nota:- A tabela selecionada com metadados exibe um erro.
- Você precisa verificar se realmente deseja restringir o acesso à tabela de metadados, pois isso pode afetar o acesso à configuração dos usuários.
- As tabelas sys_properties, sys_continvious_auth_policye sys_user são excluídas para CA e não podem ser adicionadas à configuração da política de CA.
Nota:Você pode usar qualquer um dos métodos de login para a política de CA:- Login baseado em SSO: especifique os campos na guia Autenticação contínua no registro do Provedor de identidade e defina o registro do Provedor de identidade como Ativo.
Para saber mais sobre a configuração de provedores de identidade, consulte OIDC e SAML.
- Login não baseado em SSO: por padrão, se não houver um provedor de identidade com configuração de autenticação contínua, a autenticação multifator (MFA) será usada como método de login. Certifique-se de que as propriedades da MFA estejam ativas e configuradas com base em seus requisitos. Para saber mais sobre as propriedades da MFA, consulte Propriedades do sistema de autenticação multifator.
- Classe de dados. Você pode criar uma classe de dados e usá-la para configuração de política de CA. A seguir estão as classes de dados de amostra que podem ser selecionadas:
Resultado
Com base nos detalhes fornecidos para a configuração, a política de CA é criada com listas de controle de acesso (ACLs) para a tabela ou classe de dados selecionada. Você pode exibir os detalhes das ACLs criadas pela seleção de Exibir ACLs na página de política.
A política de CA criada solicita autenticação do usuário para acessar a tabela ou a classe de dados que você protegeu usando a política, com base nos seguintes cenários.
- O usuário que realizou o login local para fazer login na instância é exibido com a MFA da plataforma para autenticação em etapa crescente.Nota:O fator de MFA usado recentemente pelos usuários é exibido para autenticação.
- O usuário que realizou o login SSO (OIDC ou SAML) para fazer login na instância é exibido com o SSO para nova autenticação.
Uma sessão de alta garantia agora está estabelecida para o usuário. A sessão de alta garantia está limitada à propriedade do sistema de comprimento de sessão de alta garantia (glide.zta.high_assurance.session.timeout). Se o tempo da sessão de alta garantia exceder o comprimento da propriedade, o usuário será solicitado a autenticar novamente ou aumentar a autenticação.
Para saber mais sobre a configuração de ponta a ponta da autenticação contínua para tabela ou dados, consulte: