บทความนี้จะอธิบาย Use Case ที่พบบ่อยเกี่ยวกับการเข้าถึงแบบ Context-Aware และแสดงตัวอย่างการกำหนดค่าที่พัฒนาในโหมดพื้นฐาน
ดูตัวอย่างระดับการเข้าถึงที่พัฒนาในโหมดขั้นสูง (โดยใช้เครื่องมือแก้ไข CEL) ได้ที่ตัวอย่างการเข้าถึงแบบ Context-Aware สำหรับโหมดขั้นสูง
อนุญาตให้พนักงานสัญญาจ้างเข้าถึงผ่านเครือข่ายของบริษัทเท่านั้น
บริษัทหลายๆ แห่งต้องการจำกัดทรัพยากรของบริษัทที่พนักงานสัญญาจ้างเข้าถึงได้ ตัวอย่างเช่น บริษัทที่ใช้พนักงานสัญญาจ้างในการรับสายโทรศัพท์เพื่อให้การสนับสนุนทั่วไป หรือทำงานในศูนย์ช่วยเหลือและศูนย์บริการ พนักงานสัญญาจ้างต้องมีใบอนุญาตที่รองรับเพื่อให้อยู่ภายใต้นโยบายการเข้าถึงแบบ Context-Aware เช่นเดียวกับพนักงานเต็มเวลา
ในตัวอย่างนี้ พนักงานสัญญาจ้างจะเข้าถึงทรัพยากรของบริษัทได้จากช่วงที่อยู่ IP ของบริษัทที่กำหนดเท่านั้น
| ชื่อระดับการเข้าถึง | contractor_access |
| พนักงานสัญญาจ้างจะได้รับสิทธิ์เข้าถึงในกรณีที่ | มีแอตทริบิวต์ตรงตามที่กำหนด |
| แอตทริบิวต์ของเงื่อนไข 1 | ซับเน็ต IP 74.125.192.0/18 |
| การกำหนดระดับการเข้าถึง | หน่วยขององค์กรสำหรับพนักงานสัญญาจ้าง แอปทั้งหมดที่พนักงานสัญญาจ้างใช้ |
บล็อกการเข้าถึงจากที่อยู่ IP ที่ทราบว่าเป็นของผู้ลักลอบใช้บัญชี
เพื่อปกป้องทรัพยากรของบริษัทจากการถูกบุกรุก บริษัทหลายๆ แห่งจึงบล็อกการเข้าถึงแหล่งที่มาที่ทราบว่ามีความเสี่ยงสูง
ในตัวอย่างนี้ ที่อยู่ IP 74.125.195.105 ถูกบล็อกอยู่ ผู้ใช้จะเข้าถึงทรัพยากรของบริษัทได้หากเซสชันนั้นมีต้นทางมาจากที่อยู่ IP อื่นๆ คุณจะระบุที่อยู่ IP และช่วงที่อยู่ IP ได้หลายรายการ
| ชื่อระดับการเข้าถึง | block_highrisk |
| ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ | ไม่มีแอตทริบิวต์ตรงตามที่กำหนด |
| แอตทริบิวต์ของเงื่อนไข 1 | ซับเน็ต IP 74.125.195.105 |
| การกำหนดระดับการเข้าถึง | หน่วยขององค์กรระดับบนสุด แอปทั้งหมด |
อนุญาตหรือไม่อนุญาตให้เข้าถึงจากสถานที่ที่กำหนด
หากมีพนักงานที่เดินทางไปยังบริษัทหรือสำนักงานของพาร์ทเนอร์ที่ห่างไกลเป็นประจำ คุณจะระบุตำแหน่งทางภูมิศาสตร์ที่พนักงานจะเข้าถึงทรัพยากรของบริษัทได้
ตัวอย่างเช่น หากกลุ่มพนักงานฝ่ายขายไปพบลูกค้าในออสเตรเลียและอินเดียเป็นประจำ คุณก็จำกัดให้กลุ่มนี้เข้าถึงทรัพยากรได้เฉพาะจากโฮมออฟฟิศ ออสเตรเลีย และอินเดียเท่านั้น หากกลุ่มนี้เดินทางไปยังประเทศอื่นๆ เพื่อพักผ่อนส่วนตัวซึ่งเป็นส่วนหนึ่งของการเดินทางเพื่อธุรกิจ พนักงานก็จะเข้าถึงทรัพยากรของบริษัทจากประเทศอื่นๆ ดังกล่าวไม่ได้
ในตัวอย่างนี้ กลุ่มพนักงานฝ่ายขายจะเข้าถึงทรัพยากรของบริษัทได้จากสหรัฐอเมริกา (โฮมออฟฟิศ) ออสเตรเลีย และอินเดียเท่านั้น
| ชื่อระดับการเข้าถึง | sales_access |
| ฝ่ายขายจะได้รับสิทธิ์เข้าถึงในกรณีที่ | มีแอตทริบิวต์ตรงตามที่กำหนด |
| แอตทริบิวต์ของเงื่อนไข 1 | ต้นทางทางภูมิศาสตร์ สหรัฐอเมริกา ออสเตรเลีย อินเดีย |
| การกำหนดระดับการเข้าถึง | กลุ่มพนักงานฝ่ายขาย ทุกแอปที่พนักงานฝ่ายขายใช้ |
คุณยังสามารถสร้างนโยบายเพื่อปฏิเสธการเข้าถึงจากบางประเทศได้โดยการระบุว่าผู้ใช้จะได้รับสิทธิ์เข้าถึงหากผู้ใช้ไม่ตรงตามเงื่อนไข โดยคุณจะต้องระบุรายชื่อประเทศที่ต้องการบล็อกการเข้าถึง
ใช้ระดับการเข้าถึงที่ซ้อนกันแทนที่จะเลือกระดับการเข้าถึงหลายระดับในการกำหนด
ในบางกรณี เมื่อพยายามกำหนดระดับการเข้าถึงให้กับหน่วยขององค์กรหรือกลุ่มที่ต้องการและแอปพลิเคชัน (หรือชุดแอปพลิเคชัน) คุณอาจเห็นข้อความแสดงข้อผิดพลาดที่ขอให้คุณลดจํานวนแอปพลิเคชันหรือระดับการเข้าถึง
หากต้องการป้องกันไม่ให้เกิดข้อผิดพลาดนี้ คุณสามารถลดจํานวนระดับการเข้าถึงที่ใช้ในการกำหนดได้โดยซ้อนกันเป็นระดับการเข้าถึงเดียว ระดับการเข้าถึงที่ซ้อนกันจะรวมเงื่อนไขหลายรายการได้ด้วยการใช้โอเปอเรเตอร์ OR โดยแต่ละเงื่อนไขจะมีระดับการเข้าถึงแยกกัน
ในตัวอย่างนี้ USWest, USEast และ USCentral อยู่ในระดับการเข้าถึงแยกกัน 3 ระดับ สมมติว่าคุณต้องการให้ผู้ใช้เข้าถึงแอปพลิเคชันได้หากมีคุณสมบัติตามระดับการเข้าถึงใดก็ตามใน USWest OR USEast OR USCentral คุณก็สร้างระดับการเข้าถึงที่ซ้อนกัน 1 ระดับ (เรียกว่า USRegions) โดยใช้โอเปอเรเตอร์ OR ได้ เมื่อถึงเวลากำหนดระดับการเข้าถึง ให้กำหนดระดับการเข้าถึง USRegions ให้กับแอปพลิเคชันสําหรับหน่วยขององค์กรหรือกลุ่ม
|
ชื่อระดับการเข้าถึง |
USRegions |
|
ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ |
มีแอตทริบิวต์ตรงตามที่กำหนด |
|
แอตทริบิวต์ของเงื่อนไข 1 (ระดับการเข้าถึง 1 ระดับต่อเงื่อนไขเท่านั้น) |
ระดับการเข้าถึง USWest |
|
รวมเงื่อนไข 1 และเงื่อนไข 2 เข้าด้วยกันด้วย |
หรือ |
|
ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ |
มีแอตทริบิวต์ตรงตามที่กำหนด |
|
แอตทริบิวต์ของเงื่อนไข 2 |
ระดับการเข้าถึง USEast |
|
รวมเงื่อนไข 2 และเงื่อนไข 3 เข้าด้วยกันด้วย |
หรือ |
|
ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ |
มีแอตทริบิวต์ตรงตามที่กำหนด |
|
แอตทริบิวต์ของเงื่อนไข 3 |
ระดับการเข้าถึง USCentral |
ต้องใช้เดสก์ท็อปของบริษัท แต่ไม่จำเป็นสำหรับอุปกรณ์เคลื่อนที่
บริษัทอาจบังคับให้ใช้อุปกรณ์เดสก์ท็อปของบริษัท แต่ไม่จำเป็นต้องใช้อุปกรณ์เคลื่อนที่ของบริษัท
ก่อนอื่น ให้สร้างระดับการเข้าถึงสำหรับอุปกรณ์เดสก์ท็อป
|
ชื่อระดับการเข้าถึง |
aldesktop_access |
|
ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ |
มีแอตทริบิวต์ตรงตามที่กำหนด |
|
แอตทริบิวต์ของเงื่อนไข 1 |
นโยบายด้านอุปกรณ์
การเข้ารหัสอุปกรณ์ = ไม่รองรับ ระบบปฏิบัติการของอุปกรณ์ macOS = 0.0.0 Windows =0.0.0 Linux OS = 0.0.0 Chrome OS = 0.0.0 |
จากนั้นสร้างระดับการเข้าถึงสำหรับอุปกรณ์เคลื่อนที่
|
ชื่อระดับการเข้าถึง |
almobile_access |
|
ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ |
มีแอตทริบิวต์ตรงตามที่กำหนด |
|
แอตทริบิวต์ของเงื่อนไข 1 |
ระบบปฏิบัติการของอุปกรณ์ iOS = 0.0.0 Android = 0.0.0 |
ต้องมีการรักษาความปลอดภัยของอุปกรณ์ขั้นพื้นฐาน
ขณะนี้บริษัทส่วนใหญ่ต้องการให้พนักงานเข้าถึงทรัพยากรของบริษัทผ่านอุปกรณ์ที่เข้ารหัสและตรงตามเวอร์ชันของระบบปฏิบัติการขั้นต่ำ บางบริษัทยังกำหนดให้พนักงานใช้อุปกรณ์ที่เป็นของบริษัทอีกด้วย
คุณจะกำหนดค่านโยบายเหล่านี้สำหรับทุกหน่วยขององค์กรหรือเฉพาะกับผู้ที่ทำงานกับข้อมูลที่ละเอียดอ่อนได้ เช่น ผู้บริหารของบริษัท ฝ่ายการเงิน หรือฝ่ายทรัพยากรบุคคล
มีหลายวิธีที่คุณจะกำหนดค่านโยบายได้ ซึ่งรวมถึงการเข้ารหัสอุปกรณ์ เวอร์ชันระบบปฏิบัติการขั้นต่ำ และอุปกรณ์ที่เป็นของบริษัท โดยแต่ละวิธีก็มีทั้งข้อดีและข้อเสีย
ระดับการเข้าถึง 1 ระดับที่มีข้อกำหนดด้านการรักษาความปลอดภัยครบถ้วน
ตัวอย่างเช่น หากอุปกรณ์ของผู้ใช้มีการเข้ารหัสและเป็นของบริษัท แต่ไม่ได้ใช้ระบบปฏิบัติการเวอร์ชันที่เป็นไปตามข้อกำหนด อุปกรณ์เหล่านั้นจะถูกปฏิเสธการเข้าถึง
ข้อดี: ตั้งค่าง่าย เมื่อคุณกำหนดระดับการเข้าถึงนี้ให้กับแอป ผู้ใช้ต้องปฏิบัติตามข้อกำหนดทุกข้อ
ข้อเสีย: ในการกำหนดข้อกำหนดด้านการรักษาความปลอดภัยให้กับหน่วยขององค์กรต่างๆ แยกกัน คุณต้องสร้างระดับการเข้าถึงแยกกันสำหรับข้อกำหนดด้านการรักษาความปลอดภัยแต่ละรายการ
| ชื่อระดับการเข้าถึง | device_security |
| ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ | มีแอตทริบิวต์ตรงตามที่กำหนด |
| แอตทริบิวต์ของเงื่อนไข 1 (คุณจะเพิ่มแอตทริบิวต์ทั้งหมดลงในเงื่อนไขเดียวหรือ สร้าง 3 เงื่อนไขและรวมเงื่อนเหล่านั้นด้วย "AND" ก็ได้) |
นโยบายด้านอุปกรณ์ ระบบปฏิบัติการของอุปกรณ์ |
ระดับการเข้าถึงแยกกัน 3 ระดับ
ตัวอย่างเช่น ผู้ใช้ที่มีอุปกรณ์เข้ารหัสและใช้ระบบปฏิบัติการเวอร์ชันเก่ากว่าในอุปกรณ์ส่วนตัวจะได้รับสิทธิ์เข้าถึง
ข้อดี: กำหนดระดับการเข้าถึงได้แบบละเอียด คุณจะกำหนดระดับการเข้าถึงให้กับหน่วยขององค์กรต่างๆ แยกกันได้
ข้อเสีย: ผู้ใช้มีคุณสมบัติตรงตามเงื่อนไขในระดับการเข้าถึงเพียงระดับเดียวก็เข้าถึงได้แล้ว
| ชื่อระดับการเข้าถึง | device_encryption |
| ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ | มีแอตทริบิวต์ตรงตามที่กำหนด |
| แอตทริบิวต์ของเงื่อนไข 1 |
นโยบายด้านอุปกรณ์ |
| ชื่อระดับการเข้าถึง | corp_device |
| ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ | มีแอตทริบิวต์ตรงตามที่กำหนด |
| แอตทริบิวต์ของเงื่อนไข 1 |
นโยบายด้านอุปกรณ์ |
| ชื่อระดับการเข้าถึง | min_os |
| ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ | มีแอตทริบิวต์ตรงตามที่กำหนด |
| แอตทริบิวต์ของเงื่อนไข 1 |
นโยบายด้านอุปกรณ์ |
ระดับการเข้าถึง 1 ระดับที่มีระดับการเข้าถึงที่ซ้อนกัน
เมื่อคุณกำหนดระดับการเข้าถึง 4 ให้กับแอป ผู้ใช้ต้องตรงตามเงื่อนไขในระดับการเข้าถึงที่ซ้อนกัน 3 ระดับจึงเข้าถึงได้ นั่นคือใช้ตรรกะ AND กับระดับการเข้าถึง
ตัวอย่างเช่น ผู้ใช้ที่มีอุปกรณ์เข้ารหัสและใช้ระบบปฏิบัติการเวอร์ชันเก่ากว่าในอุปกรณ์ส่วนตัวจะถูกปฏิเสธการเข้าถึง
ข้อดี: คุณจะรักษาความยืดหยุ่นในการแยกข้อกำหนดด้านการรักษาความปลอดภัยในระดับการเข้าถึง 1, 2 และ 3 ได้ เมื่อใช้ระดับการเข้าถึง 4 คุณจะบังคับใช้นโยบายที่มีข้อกำหนดด้านการรักษาความปลอดภัยทั้งหมดได้
ข้อเสีย: บันทึกการตรวจสอบจะจับข้อมูลการเข้าถึงที่ถูกปฏิเสธเฉพาะระดับการเข้าถึง 4 เท่านั้น (โดยไม่จับข้อมูลในระดับการเข้าถึง 1, 2 และ 3) เนื่องจากไม่ได้กำหนดระดับการเข้าถึง 1, 2 และ 3 ให้กับแอปโดยตรง
สร้างระดับการเข้าถึง 3 ระดับตามที่อธิบายไว้ใน "ระดับการเข้าถึงแยกกัน 3 ระดับ" ด้านบนดังนี้ “device_encryption,” “corp_device,” และ “min_os” จากนั้นให้สร้างระดับการเข้าถึง 4 ที่ชื่อว่า “device_security” ที่มี 3 เงื่อนไข แต่ละเงื่อนไขจะมีระดับการเข้าถึง 1 ระดับเป็นแอตทริบิวต์ (คุณจะเพิ่มแอตทริบิวต์ระดับการเข้าถึงได้เพียง 1 รายการต่อเงื่อนไขเท่านั้น)
| ชื่อระดับการเข้าถึง | device_security |
| ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ | มีแอตทริบิวต์ตรงตามที่กำหนด |
| แอตทริบิวต์ของเงื่อนไข 1 (ระดับการเข้าถึง 1 ระดับต่อเงื่อนไขเท่านั้น) |
ระดับการเข้าถึง device_encryption |
| รวมเงื่อนไข 1 และเงื่อนไข 2 เข้าด้วยกันด้วย | AND |
| ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ | มีแอตทริบิวต์ตรงตามที่กำหนด |
| แอตทริบิวต์ของเงื่อนไข 1 | ระดับการเข้าถึง corp_device |
| รวมเงื่อนไข 2 และเงื่อนไข 3 เข้าด้วยกันด้วย | และ |
| ผู้ใช้จะได้รับสิทธิ์เข้าถึงในกรณีที่ | มีแอตทริบิวต์ตรงตามที่กำหนด |
| แอตทริบิวต์ของเงื่อนไข 1 | ระดับการเข้าถึง min_os |