Conditions des règles
Les règles d'une politique de sécurité peuvent comporter deux types de conditions d'authentification et d'autorisation de l'utilisateur : Demandes d'accès et MFA. Lorsqu'une ressource comporte plusieurs règles avec Demandes d'accès et MFA activées, les utilisateurs peuvent accéder à une ressource tant qu'ils remplissent toutes les conditions.
Imaginez un scénario où un administrateur de sécurité configure une politique contenant plusieurs règles, notamment des Demandes d'accès, des ensembles de privilèges et des conditions Gateway. Dans ce cas, les utilisateurs se voient présenter plusieurs options de connexion. Dans l'exemple suivant, la politique contient plusieurs règles avec différentes conditions. L'utilisateur peut ainsi sélectionner cinq options de connexion. Si l'utilisateur remplit toutes les exigences d'une règle donnée, il se voit accorder l'accès à la ressource.
Si l'utilisateur a des demandes d'accès approuvées il y a 35 minutes et qu'il effectue ensuite la vérification par MFA dans les 10 minutes, il lui est accordé l'accès car les conditions de la règle 2 sont satisfaites. Cependant, si l'utilisateur a des demandes d'accès approuvées il y a 28 minutes, puis effectue la vérification par MFA après 70 minutes, il ne lui sera pas accordé l'accès, car aucune des conditions de la règle n'est satisfaite.
Règle 1
- Demandes d'accès: approbation du responsable avec validité de 30 minutes
- MFA : résistance à l'hameçonnage avec une fréquence de ré-authentification de 15 minutes
Règle 2
- Demandes d'accès : approbation du responsable avec validité de 45 minutes
- MFA : résistance à l'hameçonnage avec une fréquence de ré-authentification de 10 minutes
Règle 3
- Demandes d'accès : approbation de l'administrateur avec validité de 60 minutes
- MFA : résistance à l'hameçonnage avec une fréquence de ré-authentification de huit minutes
Règle 4
-
Demandes d'accès : approbation du directeur avec validité pendant 15 minutes
Règle 5
- MFA : résistance à l'hameçonnage avec une fréquence de ré-authentification de cinq minutes
Règles relatives à la structure hiérarchique des secrets
Lorsque les règles sont définies à différents niveaux d'une hiérarchie, les règles qui sont liées le plus près de la ressource cible ont la priorité. Cela signifie que si les règles sont définies sur la ressource cible elle-même, ces règles remplaceront toutes les règles liées aux dossiers parent dans la hiérarchie. Si aucune règle n'est définie pour la ressource cible, le dossier parent le plus proche contenant les règles correspondantes sera utilisé à la place.
Par exemple, prenons la structure de dossier secret suivante : A → B → C. Si un utilisateur essaie d'accéder à la ressource C, toutes les règles liées à C avec les autorisations correspondantes s'appliquent. Si aucune règle n'est définie pour C, mais que des règles sont définies pour A ou B, alors les règles pour B s'appliquent.