Tilgangsstruktur

Tilgangsstruktur brukes til å modellere hierarkisk tilgang i et miljø for både interne brukere og eksterne brukere.

En tilgangsstruktur kan representere kunder, avdelinger, ansvar, roller eller lignende forretningsgrupperinger for tilgang. Brukere tildeles gjennom medlemskap til en node i strukturen, og den effektive tilgangen løses opp ved innlogging.

Tilgangsstruktur og noder

Hver tilgangsstruktur inneholder ett enkelt nodehierarki med nøyaktig én rotnode.

En node inneholder:

  • Et navn
  • Eventuelt claims som beskriver tilgangen noden representerer
  • Eventuelt innstillinger for tilgangspolicy for interne brukere
  • Eventuelt undernoder under den i hierarkiet

Hierarkiet kan brukes til å modellere tilgang som:

  • Kunde → Avdeling → Rolle
  • Organisasjon → Team → Ansvar
  • Partner → Region → Funksjon

Eksempel: Acme Corp tilgangsstruktur

Følgende eksempel modellerer tilgang for kunden Acme Corp med en finansavdeling og en godkjennerrolle:

Acme Corp (customer=acme)
  Finance (department=finance)
    Approver (role=approver)

I innstillingene for tilgangsstrukturen er toppnoden Acme Corp med claimet customer=acme. Undernoden Finance legger til claimet department=finance, og undernoden Approver legger til claimet role=approver og krever flerfaktorautentisering (MFA).

Tilgangsstrukturinnstillinger med nodene Acme Corp, Finance og Approver

Når en bruker tildeles gjennom et medlemskap til noden Approver, løser FoxIDs opp hierarkiet fra Approver til Acme Corp.

I claim-transformasjoner er de oppløste verdiene tilgjengelige som _local: tilgangsclaims.

Input claims i en claim-transformasjon med lokale tilgangsstrukturclaims og claims videresendt til applikasjonen

Hvis Forward access structure claims to applications er aktivert, videresendes tilgangsclaims også til claim-transformasjoner og applikasjoner. I dette tilfellet claimene customer=acme, department=finance og role=approver.

Tilgangspolicy for interne brukere

Noder i tilgangsstrukturen kan bruke ekstra innloggingspolicy for interne brukere. Disse innstillingene gjelder ikke for eksterne brukere.

Følgende nodeinnstillinger er tilgjengelige:

  • Passordpolicygruppe
  • Krev flerfaktorautentisering
  • Deaktiver interne brukere

Innstillingene gjelder for brukere med et aktivt medlemskap på noden og for brukere med aktive medlemskap på undernoder under den. Hvis MFA for eksempel kreves på Finance, kreves det også for en bruker som er tildelt Approver under Finance.

Hvis en bruker har flere aktive medlemskap, kombinerer FoxIDs alle relevante nodepolicyer:

  • En deaktiveringsinnstilling på en relevant node blokkerer innlogging, på samme måte som om den interne brukeren selv er deaktivert.
  • Et MFA-krav på en relevant node krever MFA, selv om brukeren ikke krever MFA direkte.
  • Alle relevante passordpolicygrupper vurderes sammen med passordpolicygruppen som er konfigurert direkte på brukeren.

Passordpolicygrupper prioriteres i miljøinnstillingene. Hvis flere passordpolicygrupper gjelder for brukeren, bruker FoxIDs den første samsvarende gruppen i miljøets liste over passordpolicygrupper. Miljøets standard passordpolicy brukes hvis ingen samsvarende gruppe gjelder.

Medlemskap

Brukere kobles til en tilgangsstruktur gjennom medlemskap. En bruker kan kobles til flere tilgangsstrukturer gjennom flere medlemskap og flere noder i hver struktur.

Et medlemskap:

  • Gjelder for både interne brukere og eksterne brukere
  • Refererer til én node i en tilgangsstruktur
  • Kan eventuelt inneholde en gyldig fra- og gyldig til-tid

Medlemskap administreres i FoxIDs Control Client:

  • På siden Internal Users for interne brukere
  • På siden External Users for eksterne brukere
  • På siden Access Structures for brukersentrert medlemskapsadministrasjon

Oppløst tilgang ved innlogging

Ved innlogging løser FoxIDs opp brukerens medlemskap og går gjennom nodehierarkiet fra den tildelte noden til rotnoden.

Det oppløste resultatet inneholder:

  • Effektive node paths
  • Effektive claims fra hierarkiet
  • Path-kvalifiserte claims

Disse verdiene gjøres tilgjengelige før normale claim-transformasjoner kjøres, noe som betyr at de kan brukes direkte i eksisterende claim-transformasjons- og autorisasjonsflyter.

Lokale claims

Oppløsning av tilgangsstruktur sender ut faste lokale claimtyper.

Følgende lokale claims er tilgjengelige i claim-transformasjoner:

  • _local:access_node
  • _local:access_claim
  • _local:access_path_claim

Dette unngår dynamiske claimtyper samtidig som hierarkikonteksten fortsatt bæres i claimverdiene.

Videresend claims til applikasjoner

Hver tilgangsstruktur inneholder innstillingen Forward access structure claims to applications, som er aktivert som standard.

Hvis den er aktivert, videresendes oppløste tilgangsclaims til applikasjoner.

Hvis den er deaktivert, er den oppløste tilgangen fortsatt tilgjengelig lokalt i claim-transformasjoner, men de oppløste tilgangsclaimene videresendes ikke til applikasjoner.

Typiske bruksområder

  • Modeller kundespesifikk tilgang for interne og eksterne brukere
  • Tildel brukere til avdelinger og roller gjennom medlemskap
  • Løs opp godkjenner- eller leseransvar fra et hierarki
  • Videresend oppløste tilgangsclaims til applikasjoner ved behov
Ditt personvern

Ditt personvern

Vi bruker cookies for å gjøre opplevelsen av nettstedene våre bedre. Klikk på 'Godta alle cookies' for å samtykke til bruk av cookies. For å reservere deg mot ikke-nødvendige cookies, klikk på 'Kun nødvendige cookies'.

Besøk vår personvernerklæring for mer