Configurar atributo IDP para acesso à sessão

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 2 min. de leitura

    • Use o atributo Provedor de identidade (IDP) criado a partir da resposta do SAML (Security Assertion Markup Language, Linguagem de marcação de segurança) para remover ou restringir o acesso do usuário à sessão da instância.

    Antes de Iniciar

    Função necessária: security_admin

    Habilite a propriedade habilitar acesso à sessão.

    Nota:
    Para usar a configuração de função de acesso à sessão, se promova como security_admin.

    O acesso à sessão pode ser controlado pela política criada e pela ação selecionada ao executar a configuração. Estes são alguns dos cenários:

    • Quando a política for verdadeira e a ação de funções estiver definida como Remover funções junto com a entrada e a condição do atributo IDP, as funções selecionadas e suas funções secundárias associadas serão removidas para o usuário ao tentar fazer login na instância.
    • Quando a política for verdadeira e a ação de funções estiver definida como Limitar às funções junto com a entrada e a condição do atributo IDP, as funções selecionadas e suas funções secundárias associadas serão atribuídas ao usuário ao tentar fazer login na instância.

    O procedimento a seguir mostra as etapas para configurar o atributo IDP a partir da resposta do SAML, uma entrada de política para controlar o acesso à sessão.

    Procedimento

    1. Navegar até Todos > Acesso à sessão > Configurações de função de acesso à sessão.
    2. Na página “Configurações de função de acesso à sessão”, selecione “Novo”.
    3. Para remover qualquer função do usuário, preencha os campos a seguir no formulário:
      • Nome
      • Descrição
      • Política
      • Ação
      • Lista de funções
      • Lista agrupada
      1. Escolha “Remover funções” para remover funções do usuário.
        Por exemplo: itil.
      2. Escolha a função itil na lista de funções.
      3. Escolha a Política.
        Para saber mais sobre como criar políticas usando diferentes critérios de filtro com a criação de política de Autenticação adaptável, consulte Critérios de filtro.
      4. Escolha Ação como “Remover funções”.
        Quando a política for verdadeira e a ação de funções estiver definida como “Remover funções”, as funções selecionadas serão removidas para o usuário ao tentar fazer login na instância.
      5. Na Entrada de política, crie a Entrada de política e a Condição de política.
        Por exemplo:
        • Entrada de política: atributo de pontuação de risco do Okta (IDP).
        • Condições da política: condição de pontuação de risco definida entre 60 a 80.
        Pontuação de risco do atributo de identidade

        Com base nesta configuração, quando o valor do atributo de pontuação de risco do Okta (IDP) passar de 80, o usuário não será autenticado com as funções (funcionário) e suas funções secundárias que foram removidas da instância, sendo autenticado somente com outras funções atribuídas. Se a pontuação de risco estiver entre 60 e 80, o usuário será autenticado na instância com todas as funções.

        Para obter mais informações sobre como criar a Política do contexto de pós-autenticação com políticas de entrada e condição, consulte Contexto de pós-autenticação.

        Nota:
        Se a propriedade Habilitar acesso à sessão estiver inativa, a configuração de Acesso à sessão não restringirá ou removerá as funções do usuário.
      6. Selecione Enviar.