访问控制
访问控制是对已授权用户的行为进行风险管控,如果用户未授权访问应用的权限,则策略对该用户不生效。配置应用访问控制策略前,需开启访问控制策略,即配置默认策略。
以下介绍配置自定义策略的方法。
- 登录OneAccess管理门户。
- 在导航栏中,选择“资源 > 应用”。
- 在应用页面,单击某应用进入应用信息页面。
- 在通用信息模块,单击认证集成后的选择认证集成方式,单击“保存”。
只有打开认证集成,才可以配置访问控制。
- 在通用信息模块,单击“认证集成”后的“配置”默认进入“认证集成”页面。
- 选择左侧导航栏的“访问控制”,进入访问控制页面,单击页面右上角弹出“开启访问控制策略”页面配置默认策略。
单击关闭默认策略后,将清空所有策略且无法恢复,请谨慎操作。
- 单击“保存”配置完成,添加的默认策略会显示在访问控制界面。若需修改默认策略,可单击默认策略后的弹出“修改访问控制策略”进行修改。
- 在访问控制页面,单击“添加策略”配置访问控制参数,单击“保存”添加策略完成。
表1 策略参数 参数
说明
* 策略名称
策略的名称。
描述
策略的描述信息。
用户条件
指定访问应用的用户范围,可在下拉框选择。
条件关系
用户条件(用户属于组、用户属于组织、指定用户、自定义条件)之间的关系。
用户属于组
用户条件之一,通过指定用户组控制用户的访问行为。用户组请参考管理用户组。
用户属于组织
用户条件之一,通过指定组织控制用户的访问行为。组织请参考组织。
指定用户
用户条件之一,通过指定用户控制用户的访问行为。用户请参考管理用户。
自定义条件
- 用户条件之一,通过指定用户的属性控制用户的访问行为。 用户属性请参考管理用户属性定义。
- 单击“继续添加自定义条件”可添加多条自定义条件。
访问时间
指定访问应用的时间范围,可在下拉框选择。
选择日期
指定访问应用的日期,可在下拉框选择。
选择时间段
指定访问应用的时间段,可在下拉框选择。
具体时间段
- 通过指定具体时间段控制用户的访问行为。
- 单击“ 继续添加时间段”可添加多条具体时间段。
设备类型
指定访问应用的介质,包含浏览器、桌面端、移动端。
- 浏览器:谷歌、火狐、IE、其他。
- 桌面端:Windows、Linux、MacOs、其他。
- 移动端:Android、IOS、其他。
区域范围
- 访问应用的区域,可在下拉框选择。
- 如需指定具体的区域,单击“配置区域范围”配置区域,具体方法请参考管理区域。
认证源类型
指定访问应用的认证源,可在下拉框选择。
THEN
是否允许访问应用。当选择“二次认证”时,需配置二次认证频率和二次认证方式。
- 二次认证频率:在访问凭证有效期内,指定访问应用的频率。
- 二次认证方式:指定认证方式。
- 当勾选OTP后,用户登录二次认证时可按照页面提示获取动态口令,可参考配置动态口令查看具体配置。
- 当二次认证方式勾选多个后,用户登录二次认证时,可选择二次认证方式。
配置多条应用访问控制策略后,可调整其优先级。当企业用户访问应用时,根据自定义策略的优先级进行匹配,如果匹配失败,将通过默认策略判断用户是否可以访问。
- 在访问控制页面,可通过拖拽调整策略优先级。
- 单击某策略右侧操作列的“编辑”,在“编辑策略”页面可编辑该策略的配置,单击“保存”编辑完成。
- 单击某策略右侧操作列的“详情”可查看该策略的配置信息。
- 单击某策略右侧操作列的“删除”,在弹框中单击“确定”可删除该条策略。