Adgangsstruktur

Adgangsstruktur bruges til at modellere hierarkisk adgang i et miljø for både interne brugere og eksterne brugere.

En adgangsstruktur kan repræsentere kunder, afdelinger, ansvar, roller eller lignende forretningsgrupperinger for adgang. Brugere tildeles gennem medlemskaber til en node i strukturen, og den effektive adgang beregnes under login.

Adgangsstruktur og noder

Hver adgangsstruktur indeholder et enkelt nodehierarki med præcis én rodnode.

En node indeholder:

  • Et navn
  • Eventuelt claims, der beskriver den adgang, som noden repræsenterer
  • Eventuelt indstillinger for intern brugeradgangspolitik
  • Eventuelt undernoder under den i hierarkiet

Hierarkiet kan bruges til at modellere adgang som:

  • Kunde → Afdeling → Rolle
  • Organisation → Team → Ansvar
  • Partner → Region → Funktion

Eksempel: Acme Corp adgangsstruktur

Følgende eksempel modellerer adgang for kunden Acme Corp med en finansafdeling og en godkenderrolle:

Acme Corp (customer=acme)
  Finance (department=finance)
    Approver (role=approver)

I indstillingerne for adgangsstrukturen er topnoden Acme Corp med claimet customer=acme. Undernoden Finance tilføjer claimet department=finance, og undernoden Approver tilføjer claimet role=approver og kræver multifaktorgodkendelse (MFA).

Adgangsstrukturindstillinger med noderne Acme Corp, Finance og Approver

Når en bruger tildeles gennem et medlemskab til noden Approver, beregner FoxIDs hierarkiet fra Approver til Acme Corp.

I claim transforms er de beregnede værdier tilgængelige som _local: adgangsclaims.

Input claims i en claim transform med lokale adgangsstrukturclaims og claims videresendt til applikationen

Hvis Forward access structure claims to applications er aktiveret, videresendes adgangsclaims også til claim transforms og applikationer. I dette tilfælde claimene customer=acme, department=finance og role=approver.

Intern brugeradgangspolitik

Adgangsstrukturnoder kan anvende yderligere loginpolitik på interne brugere. Disse indstillinger gælder ikke for eksterne brugere.

Følgende nodeindstillinger er tilgængelige:

  • Password policy-gruppe
  • Kræv multifaktorgodkendelse
  • Deaktiver interne brugere

Indstillingerne gælder for brugere med et aktivt medlemskab på noden og for brugere med aktive medlemskaber på undernoder under den. Hvis MFA for eksempel kræves på Finance, kræves det også for en bruger, der er tildelt Approver under Finance.

Hvis en bruger har flere aktive medlemskaber, kombinerer FoxIDs alle relevante nodepolitikker:

  • En deaktiveringsindstilling på en relevant node blokerer login på samme måde, som hvis den interne bruger selv er deaktiveret.
  • Et MFA-krav på en relevant node kræver MFA, selv hvis brugeren ikke kræver MFA direkte.
  • Alle relevante password policy-grupper vurderes sammen med den password policy-gruppe, der er konfigureret direkte på brugeren.

Password policy-grupper prioriteres i miljøindstillingerne. Hvis flere password policy-grupper gælder for brugeren, bruger FoxIDs den første matchende gruppe i miljøets liste over password policy-grupper. Miljøets standard-password policy bruges, hvis ingen matchende gruppe gælder.

Medlemskaber

Brugere forbindes til en adgangsstruktur gennem medlemskaber. En bruger kan forbindes til flere adgangsstrukturer gennem flere medlemskaber og flere noder i hver struktur.

Et medlemskab:

  • Gælder for både interne brugere og eksterne brugere
  • Refererer til én node i en adgangsstruktur
  • Kan eventuelt indeholde en gyldig fra- og gyldig til-tid

Medlemskaber administreres i FoxIDs Control Client:

  • På siden Internal Users for interne brugere
  • På siden External Users for eksterne brugere
  • På siden Access Structures for brugercentreret medlemskabsadministration

Beregnet adgang ved login

Ved login beregner FoxIDs brugerens medlemskaber og går gennem nodehierarkiet fra den tildelte node til rodnoden.

Det beregnede resultat indeholder:

  • Effektive node paths
  • Effektive claims fra hierarkiet
  • Path-kvalificerede claims

Disse værdier gøres tilgængelige, før normale claim transforms udføres, hvilket betyder, at de kan bruges direkte i eksisterende claim transform- og autorisationsflows.

Lokale claims

Beregning af adgangsstruktur udsender faste lokale claimtyper.

Følgende lokale claims er tilgængelige i claim transforms:

  • _local:access_node
  • _local:access_claim
  • _local:access_path_claim

Dette undgår dynamiske claimtyper, mens hierarkikonteksten stadig bæres i claimværdierne.

Videresend claims til applikationer

Hver adgangsstruktur indeholder indstillingen Forward access structure claims to applications, som som standard er aktiveret.

Hvis den er aktiveret, videresendes beregnede adgangsclaims til applikationer.

Hvis den er deaktiveret, er den beregnede adgang stadig tilgængelig lokalt i claim transforms, men de beregnede adgangsclaims videresendes ikke til applikationer.

Typiske anvendelser

  • Modellér kundespecifik adgang for interne og eksterne brugere
  • Tildel brugere til afdelinger og roller gennem medlemskaber
  • Beregn godkender- eller læseransvar fra et hierarki
  • Videresend beregnede adgangsclaims til applikationer efter behov
Dit privatliv

Dit privatliv

Vi bruger cookies til at gøre din oplevelse på vores websites bedre. Klik på 'Acceptér alle cookies' for at acceptere brugen af cookies. For at fravælge ikke-nødvendige cookies, klik på 'Kun nødvendige cookies'.

Besøg vores privatlivspolitik for mere