基礎介紹

條件訪問（Conditional Access）是對訪問上下文進行判斷，最終得到一個訪問決策的過程，通過條件訪問策略可以針對不同情況的訪問進行不同的決策，例如不同應用的二次認證要求不同。

自定義策略需要單獨購買后才可使用（條件訪問計費說明），默認策略可免費使用。

基本概念

添加自定義條件訪問策略

單擊登錄 > 條件訪問策略 > 添加策略即可開始添加。最多可以添加10條自定義策略。

第一步：填寫基礎信息

• 策略名稱：填寫該策略的名稱，該名稱僅會在控制臺展示，不會向最終用戶展示。

• 優先級：每次訪問僅會命中一條條件訪問策略，通過設置優先級可以做靈活的訪問控制。需要填寫1～100 的數值，數值越小則優先級越高。

第二步：設置訪問對象

訪問對象即是受保護的應用，可以選擇全部應用或指定應用。

• 全部應用：訪問任意應用時，都滿足該條件。

• 指定應用：訪問指定的應用時，才滿足該條件。指定應用可以選擇IDaaS的應用門戶，或者在該實例中自行創建的各類應用。

第三步：設置訪問者

訪問者即是發起訪問的賬戶，可以選擇全部賬戶、全部組或指定賬戶。

• 全部賬戶：任何賬戶都滿足該條件。

• 全部組：只要賬戶是任意組的稱呼，即滿足該條件。

• 指定賬戶：指定的賬戶才滿足該條件。可以通過直接選擇賬戶，或者通過組織或組來選擇賬戶。

此外，通過排除訪問者，您可以指定這些被排除的賬戶不會滿足該條件，也即不會命中該條件策略。

第四步：設置限制條件

網絡范圍是可以單獨指定的實體，通過該能力您可以動態地調整IP地址而無需修改其他配置，在網絡范圍中可以進行單獨指定。可以選擇不限制網絡范圍或指定網絡范圍。

• 不限制網絡范圍：訪問者使用任何網絡范圍（IP）都滿足該條件。

• 指定網絡范圍：訪問中使用指定的網絡范圍（IP）訪問時，才滿足該條件。

第五步：訪問決策

當賬戶的訪問滿足策略的所有條件時，將命中該策略，與此同時IDaaS將對本次訪問執行訪問決策，實施允許訪問、拒絕訪問或要求進行二次認證。

• 允許訪問：當命中策略時，允許本次訪問。此時可通過更靈活的配置進一步提高訪問的安全性或便捷性：

  • 選擇二次認證模式：控制是否還需要進行二次認證。

    • 不需要二次認證：賬戶不需要再進行二次認證，可直接訪問應用。

    • 自定義二次認證：賬戶需要進行二次認證，且必須使用指定的二次認證方式。例如針對高敏感應用可要求使用更嚴格二次認證方式。

  • 選擇二次認證方式：在此處選擇賬戶需要使用的二次認證方式（可多選），選擇后必須使用其中一種方式進行二次認證。

  • 自動通過二次認證：如果賬戶已經是登錄狀態，而且目前的會話滿足本次訪問的條件訪問策略，則可以無須二次認證。例如，A、B應用都設置了相同的條件訪問策略，要求使用短信驗證碼進行二次認證，當賬戶完成了A應用的訪問后，訪問B應用時無須進行二次認證。

  • 自動通過二次認證有效期：在此處可設置該能力的有效期，以確保該能力不被濫用，保障訪問安全性。

• 拒絕訪問：當命中策略時，拒絕本次訪問。

刪除自定義條件訪問策略

您可以手動刪除自定義條件訪問策略，刪除前需禁用策略。為了避免影響用戶的正常訪問，建議在禁用后對用戶訪問進行觀察，確保無異常后進行刪除。刪除后不可恢復。

默認條件訪問策略

默認條件訪問策略作為最低優先級的策略，針對所有賬戶和應用永久生效，不可調整范圍和限制條件。如需開啟或關閉二次認證，或調整二次認證方式，需前往二次認證頁面進行修改。

典型場景和用法