Åtkomststruktur

Åtkomststruktur används för att modellera hierarkisk åtkomst i en miljö för både interna användare och externa användare.

En åtkomststruktur kan representera kunder, avdelningar, ansvar, roller eller liknande affärsgrupperingar för åtkomst. Användare tilldelas via medlemskap till en nod i strukturen, och den effektiva åtkomsten löses upp vid inloggning.

Åtkomststruktur och noder

Varje åtkomststruktur innehåller en enda nodhierarki med exakt en rotnod.

En nod innehåller:

  • Ett namn
  • Eventuellt claims som beskriver den åtkomst som noden representerar
  • Eventuellt inställningar för åtkomstpolicy för interna användare
  • Eventuellt undernoder under den i hierarkin

Hierarkin kan användas för att modellera åtkomst som:

  • Kund → Avdelning → Roll
  • Organisation → Team → Ansvar
  • Partner → Region → Funktion

Exempel: Acme Corp åtkomststruktur

Följande exempel modellerar åtkomst för kunden Acme Corp med en ekonomiavdelning och en godkännarroll:

Acme Corp (customer=acme)
  Finance (department=finance)
    Approver (role=approver)

I inställningarna för åtkomststrukturen är toppnoden Acme Corp med claimet customer=acme. Undernoden Finance lägger till claimet department=finance, och undernoden Approver lägger till claimet role=approver och kräver flerfaktorsautentisering (MFA).

Åtkomststrukturinställningar med noderna Acme Corp, Finance och Approver

När en användare tilldelas via ett medlemskap till noden Approver löser FoxIDs upp hierarkin från Approver till Acme Corp.

I claim-transformeringar är de upplösta värdena tillgängliga som _local: åtkomstclaims.

Input claims i en claim-transformering med lokala åtkomststrukturclaims och claims som vidarebefordras till applikationen

Om Forward access structure claims to applications är aktiverat vidarebefordras åtkomstclaims också till claim-transformeringar och applikationer. I detta fall claimen customer=acme, department=finance och role=approver.

Åtkomstpolicy för interna användare

Åtkomststrukturnoder kan tillämpa ytterligare inloggningspolicy på interna användare. Dessa inställningar gäller inte för externa användare.

Följande nodinställningar är tillgängliga:

  • Lösenordspolicygrupp
  • Kräv flerfaktorsautentisering
  • Inaktivera interna användare

Inställningarna gäller användare med ett aktivt medlemskap på noden och användare med aktiva medlemskap på undernoder under den. Om MFA till exempel krävs på Finance, krävs det också för en användare som är tilldelad Approver under Finance.

Om en användare har flera aktiva medlemskap kombinerar FoxIDs alla relevanta nodpolicyer:

  • En inaktiveringsinställning på en relevant nod blockerar inloggning, på samma sätt som om den interna användaren själv är inaktiverad.
  • Ett MFA-krav på en relevant nod kräver MFA, även om användaren inte kräver MFA direkt.
  • Alla relevanta lösenordspolicygrupper beaktas tillsammans med lösenordspolicygruppen som är konfigurerad direkt på användaren.

Lösenordspolicygrupper prioriteras i miljöinställningarna. Om flera lösenordspolicygrupper gäller för användaren använder FoxIDs den första matchande gruppen i miljöns lista över lösenordspolicygrupper. Miljöns standardlösenordspolicy används om ingen matchande grupp gäller.

Medlemskap

Användare kopplas till en åtkomststruktur via medlemskap. En användare kan kopplas till flera åtkomststrukturer via flera medlemskap och flera noder i varje struktur.

Ett medlemskap:

  • Gäller för både interna användare och externa användare
  • Refererar till en nod i en åtkomststruktur
  • Kan eventuellt innehålla en giltig från- och giltig till-tid

Medlemskap hanteras i FoxIDs Control Client:

  • På sidan Internal Users för interna användare
  • På sidan External Users för externa användare
  • På sidan Access Structures för användarcentrerad medlemskapshantering

Upplöst åtkomst vid inloggning

Vid inloggning löser FoxIDs upp användarens medlemskap och går genom nodhierarkin från den tilldelade noden till rotnoden.

Det upplösta resultatet innehåller:

  • Effektiva nodsökvägar
  • Effektiva claims från hierarkin
  • Sökvägskvalificerade claims

Dessa värden görs tillgängliga innan normala claim-transformeringar körs, vilket innebär att de kan användas direkt i befintliga claim-transformerings- och auktorisationsflöden.

Lokala claims

Upplösning av åtkomststruktur skickar ut fasta lokala claimtyper.

Följande lokala claims är tillgängliga i claim-transformeringar:

  • _local:access_node
  • _local:access_claim
  • _local:access_path_claim

Detta undviker dynamiska claimtyper samtidigt som hierarkikontexten fortfarande finns i claimvärdena.

Vidarebefordra claims till applikationer

Varje åtkomststruktur innehåller inställningen Forward access structure claims to applications, som är aktiverad som standard.

Om den är aktiverad vidarebefordras upplösta åtkomstclaims till applikationer.

Om den är inaktiverad är den upplösta åtkomsten fortfarande tillgänglig lokalt i claim-transformeringar, men de upplösta åtkomstclaimen vidarebefordras inte till applikationer.

Typiska användningsfall

  • Modellera kundspecifik åtkomst för interna och externa användare
  • Tilldela användare till avdelningar och roller via medlemskap
  • Lösa upp godkännar- eller läsaransvar från en hierarki
  • Vidarebefordra upplösta åtkomstclaims till applikationer vid behov
Din integritet

Din integritet

Vi använder cookies för att göra din upplevelse av våra webbplatser bättre. Klicka på 'Acceptera alla cookies' för att godkänna användningen av cookies. För att avstå från icke-nödvändiga cookies, klicka på 'Endast nödvändiga cookies'.

Besök vår integritetspolicy för mer