增强用户登录安全
# 概述
用户账号在企业中用于登录访问应用系统,部分应用中包含企业的隐私核心数据,因此对账号有较高的安全性要求,为加强用户访问各应用系统的安全性,除了常见的配置密码策略功能外,IDaaS平台提供多种增强用户账号登录安全的功能,例如配置认证策略、为应用配置访问控制策略,以及配置用户风险行为,从而达到限制、授予或增强认证的准入授权。
# 前提条件
拥有IDaaS企业中心的管理员权限。
# 操作步骤
# 配置认证策略
本模块指导管理员配置认证策略,对满足策略中条件的用户进行访问的控制,同时还支持对用户的风险行为进行检测,认证策略为全局类型策略。
登录IDaaS企业中心平台,在上方导航栏选择 “认证 > 认证策略” ,单击 “添加策略” 配置用户认证策略。
参考界面提示配置,关键参数说明如下。
用户条件:设置认证策略生效的用户范围,包括所有用户均生效、仅满足指定条件的用户生效、或者仅不满足指定条件的用户生效。
访问时间:设置认证策略生效的用户访问时间段,包括在任意时间段访问均生效、仅在指定时间范围内访问时生效、或者仅当不在指定时间范围内访问时生效。
设备类型:设置认证策略生效的用户所使用的设备类型,包括浏览器端、桌面端、移动端。
区域范围:设置认证策略生效的用户所处的区域范围,除了内置的区域外,区域范围还支持自定义配置,详细信息请参考配置区域范围。
认证源类型:设置认证策略生效的用户所使用的认证源。
风险行为:设置用户风险行为,配置后对风险行为进行检测查看是否符合条件。
允许访问:设置后,表示满足以上条件的用户允许访问集成在平台的应用。
拒绝:设置后,表示满足以上条件的用户不允许访问集成在平台的应用。
二次认证:设置后,表示满足以上条件的用户访问集成在平台的应用时,需要进行二次认证,支持自定义二次认证频率及二次认证方式。
- 认证策略生效规则为如果 “用户条件” 中的用户在指定 “时间段” 以及 ”区域范围“ ,使用指定 ”设备类型“ 及 ”认证源类型“ 访问应用,且用户满足指定的 "风险行为" 时,那么该用户被允许或者被拒绝或者需要二次认证访问应用。
- 若新增多个认证策略,可手动调整各认证策略的优先级,按照策略优先级顺序执行。
# 配置访问控制策略
本模块指导管理员为应用配置访问控制策略,对满足策略中条件的用户进行该应用的访问控制,包含默认访问控制策略以及自定义访问控制策略,访问控制策略为单个应用的策略。
登录IDaaS企业中心平台,在上方导航栏选择 “资源 > 应用” ,选择待配置访问控制策略的应用,单击 “访问控制” 为应用配置用户访问控制策略。
在访问控制页面,启用 “访问控制” 开关,根据项目实际需求参考界面提示为所选应用配置默认策略,默认策略优先级低于自定义设置的访问策略。
单击 “添加策略” 为所选应用配置指定条件下的用户访问控制策略,访问控制策略除了不支持配置风险行为外,其余配置与认证策略配置基本一致,此处不做详述,请参考上文配置认证策略。
- 自定义的访问控制策略优先级高于默认策略,即当用户符合应用访问策略中设定的条件时,用户优先遵循该访问策略。
- 若新增多个访问策略,可手动调整各访问策略的优先级,按照策略优先级顺序执行,若均不满足所有访问策略,则按照默认策略执行。
- 认证策略的优先级高于应用访问控制策略,即当用户符合此前配置的认证策略时,需要优先执行认证策略。
# 风险行为管理
本模块指导管理员为企业用户配置风险行为规则,实时检测用户是否存在异常风险行为,当触发风险后,实时为用户发送告警提示,提高用户账号的安全性。
登录IDaaS企业中心平台,在上方导航栏选择 “安全 > 风险行为管理” ,单击 “添加行为” ,为用户设定行为规则,关键参数说明如下。
行为名称:自定义风险行为的名称。
风险类型:设置触发风险的类型,包括异常位置、异常设备、异常IP以及账号锁定,选择账号锁定后,当用户在登录时账号锁定则会触发风险,账号锁定配置详细信息请参考配置统一密码策略中的相关内容。
次数配置:当用户已成功登录的次数超过配置的次数的3倍时开始进行风险判定,没有达到配置次数的3倍时认为无风险。
配置完成后,单击 “通知设置” 设置风险通知方式,为所有用户或者指定用户发送通知。
