Struttura di accesso

La struttura di accesso viene usata per modellare accessi gerarchici in un ambiente sia per utenti interni sia per utenti esterni.

Una struttura di accesso puo rappresentare clienti, dipartimenti, responsabilita, ruoli o raggruppamenti di accesso aziendali simili. Agli utenti vengono assegnati accessi tramite membership a un nodo della struttura, e l'accesso effettivo viene risolto durante il login.

Struttura di accesso e nodi

Ogni struttura di accesso contiene una sola gerarchia di nodi con esattamente un nodo radice.

Un nodo contiene:

• Un nome
• Facoltativamente claim che descrivono l'accesso rappresentato dal nodo
• Facoltativamente impostazioni dei criteri di accesso per utenti interni
• Facoltativamente nodi figlio sotto di esso nella gerarchia

La gerarchia puo essere usata per modellare accessi come:

• Cliente → Dipartimento → Ruolo
• Organizzazione → Team → Responsabilita
• Partner → Regione → Funzione

Esempio: struttura di accesso Acme Corp

L'esempio seguente modella l'accesso per il cliente Acme Corp con un reparto finance e un ruolo approver:

Acme Corp (customer=acme)
  Finance (department=finance)
    Approver (role=approver)

Nelle impostazioni della struttura di accesso, il nodo superiore è Acme Corp con il claim customer=acme. Il nodo figlio Finance aggiunge il claim department=finance, e il nodo figlio Approver aggiunge il claim role=approver e richiede l'autenticazione a più fattori (MFA).

Quando un utente viene assegnato tramite una membership al nodo Approver, FoxIDs risolve la gerarchia da Approver fino a Acme Corp.

Nelle trasformazioni dei claim, i valori risolti sono disponibili come claim di accesso _local:.

Se Forward access structure claims to applications e abilitato, i claim di accesso vengono anche inoltrati alle trasformazioni dei claim e alle applicazioni. In questo caso vengono inoltrati i claim customer=acme, department=finance e role=approver.

Criteri di accesso per utenti interni

I nodi della struttura di accesso possono applicare criteri di login aggiuntivi agli utenti interni. Queste impostazioni non si applicano agli utenti esterni.

Sono disponibili le seguenti impostazioni del nodo:

• Gruppo di criteri password
• Richiedi autenticazione a più fattori
• Disabilita utenti interni

Le impostazioni si applicano agli utenti con una membership attiva nel nodo e agli utenti con membership attive nei nodi figli sottostanti. Ad esempio, se l'MFA è richiesta su Finance, è richiesta anche per un utente assegnato ad Approver sotto Finance.

Se un utente ha più membership attive, FoxIDs combina tutti i criteri di nodo rilevanti:

• Un'impostazione di disabilitazione su qualsiasi nodo rilevante blocca il login, come se l'utente interno fosse disabilitato direttamente.
• Un requisito MFA su qualsiasi nodo rilevante richiede l'MFA, anche se l'utente non la richiede direttamente.
• Tutti i gruppi di criteri password rilevanti vengono considerati insieme al gruppo di criteri password configurato direttamente sull'utente.

I gruppi di criteri password sono ordinati per priorità nelle impostazioni dell'ambiente. Se all'utente si applicano più gruppi di criteri password, FoxIDs usa il primo gruppo corrispondente nell'elenco dei gruppi di criteri password dell'ambiente. Il criterio password predefinito dell'ambiente viene usato se non si applica alcun gruppo corrispondente.

Membership

Gli utenti vengono collegati a una struttura di accesso tramite membership. Un utente puo essere collegato a piu strutture di accesso tramite piu membership e a piu nodi all'interno di ciascuna struttura.

Una membership:

• Si applica sia agli utenti interni sia agli utenti esterni
• Fa riferimento a un nodo in una struttura di accesso
• Puo facoltativamente includere un tempo di validita iniziale e finale

Le membership vengono gestite in FoxIDs Control Client:

• Nella pagina Internal Users per gli utenti interni
• Nella pagina External Users per gli utenti esterni
• Nella pagina Access Structures per la gestione user-centric delle membership

Accesso risolto al login

Al login, FoxIDs risolve le membership dell'utente e percorre la gerarchia dei nodi dal nodo assegnato fino al nodo radice.

Il risultato risolto include:

• Percorsi effettivi dei nodi
• Claim effettivi dalla gerarchia
• Claim qualificati dal percorso

Questi valori diventano disponibili prima dell'esecuzione delle normali trasformazioni dei claim, il che significa che possono essere usati direttamente nei flussi esistenti di trasformazione dei claim e autorizzazione.

Claim locali

La risoluzione della struttura di accesso emette tipi di claim locali fissi.

I seguenti claim locali sono disponibili nelle trasformazioni dei claim:

• _local:access_node
• _local:access_claim
• _local:access_path_claim

Questo evita tipi di claim dinamici pur continuando a trasportare il contesto gerarchico nei valori dei claim.

Inoltrare claim alle applicazioni

Ogni struttura di accesso include l'impostazione Forward access structure claims to applications, abilitata per impostazione predefinita.

Se abilitata, i claim di accesso risolti vengono inoltrati alle applicazioni.

Se disabilitata, l'accesso risolto rimane comunque disponibile localmente all'interno delle trasformazioni dei claim, ma i claim di accesso risolti non vengono inoltrati alle applicazioni.

Casi d'uso tipici

• Modellare accessi specifici del cliente per utenti interni ed esterni
• Assegnare utenti a dipartimenti e ruoli tramite membership
• Risolvere responsabilita di approver o reader da una gerarchia
• Inoltrare claim di accesso risolti alle applicazioni quando necessario

Documentazione correlata

• Panoramica utenti
• Utenti interni
• Utenti esterni
• Claim
• Trasformazioni e attivita dei claim
• Control Client e API