توضّح هذه المقالة بعض حالات الاستخدام الشائعة لميزة "الوصول الواعي بالسياق"، وتشمل نماذج لعمليات الضبط التي تم تطويرها في "الوضع الأساسي".
للاطِّلاع على أمثلة لمستويات الوصول التي تم تطويرها في "الوضع المتقدِّم" (باستخدام محرِّر CEL)، يُرجى الانتقال إلى مقالة أمثلة على الوصول الواعي بالسياق للوضع متقدِّم.
السماح للمتعاقدين بالوصول من خلال شبكة الشركة فقط
ترغب العديد من الشركات في فرض قيود على وصول المتعاقد إلى موارد الشركة. على سبيل المثال، الشركات التي تستخدم المتعاقدين للرد على مكالمات الدعم العام أو العمل في مراكز المساعدة ومراكز الاتصال. كما هو الحال مع الموظفين بدوام كامل، يجب أن يمتلك المتعاقدونترخيصًا معتمدًا لتطبيق سياسات الوصول الواعي بالسياق عليهم.
في المثال التالي، يحصل المتعاقدون على إمكانية الوصول إلى موارد الشركة من خلال نطاق عناوين IP محدد فقط.
| اسم مستوى الوصول | contractor_access |
| يحصل المتعاقد على إذن الوصول في حال: | استيفاء السمات |
| سمة الشرط 1 | الشبكة الفرعية لعنوان IP 74.125.192.0/18 |
| تخصيص مستوى الوصول | الوحدات التنظيمية للمتعاقدين كل التطبيقات التي يحتاج المتعاقدون إلى استخدامها |
حظر الوصول من عناوين IP لمخترِق معروف
لحماية موارد الشركة من التعرض للاختراق، تمنع العديد من الشركات الوصول إلى المصادر المعروفة بالغة الأهمية.
في هذا المثال، تم حظر عنوان IP 74.125.195.105. يمكن للمستخدمين الوصول إلى موارد الشركة في حال كانت جلساتهم من أي عنوان IP آخر. يمكنك تحديد عناوين IP ونطاقات متعددة.
| اسم مستوى الوصول | block_highrisk |
| يحصل المستخدم على إذن الوصول في حال: | عدم استيفاء السمات |
| سمة الشرط 1 | الشبكة الفرعية لعنوان IP 74.125.195.105 |
| تخصيص مستوى الوصول | الوحدة التنظيمية ذات المستوى الأعلى جميع التطبيقات |
السماح بإمكانية الوصول أو حظرها من مواقع جغرافية مختارة
إذا كان لديك موظفون يسافرون بانتظام إلى مكاتب الشركات أو مكاتب الشركاء، يمكنك تحديد المواقع الجغرافية التي يمكنهم من خلالها الوصول إلى موارد الشركة.
على سبيل المثال، إذا كانت لديك مجموعة من فريق المبيعات تتردد على أستراليا والهند بانتظام، يمكنك حصر إمكانية وصولهم إلى المكتب الرئيسي من خارجه على أستراليا والهند فقط. بينما عند سفرهم إلى بلدان أخرى لقضاء عطلة شخصية كجزء من رحلة عمل، لن يمكنهم الوصول إلى موارد الشركة منها.
في هذا المثال، لا يمكن لمجموعة المبيعات هذه الوصول إلى موارد الشركة إلا من الولايات المتحدة (المكتب الرئيسي) وأستراليا والهند.
| اسم مستوى الوصول | sales_access |
| يحصل فريق المبيعات على إذن الوصول في حال: | استيفاء السمات |
| سمة الشرط 1 | الموقع الجغرافي للعنوان الولايات المتحدة وأستراليا والهند |
| تخصيص مستوى الوصول | مجموعة من فريق المبيعات جميع التطبيقات التي يستخدمها فريق المبيعات |
يمكنك أيضًا إنشاء سياسة لرفض الوصول من بلدان مُحدَّدة من خلال تحديد حصول المستخدمين على إذن الوصول في حالة عدم استيفاء الشروط. سيتطلب الأمر إدخال البلدان التي تريد حظر الوصول منها.
استخدام مستويات الوصول المتداخلة بدلاً من اختيار مستويات وصول متعددة أثناء التخصيص
في بعض الحالات عند محاولة تخصيص مستويات الوصول لوحدة تنظيمية معينة أو تطبيق معين (أو مجموعة من التطبيقات)، قد تظهر لك رسالة خطأ تطلب منك تقليل عدد التطبيقات أو مستويات الوصول.
لمنع حدوث هذا الخطأ، يمكنك تقليل عدد مستويات الوصول المستخدمة أثناء التخصيص من خلال دمجها في مستوى وصول واحد. يربط مستوى الوصول المدمج الشروط المتعددة باستخدام المعامل OR، مع كل شرط يحتوي على مستوى وصول فردي.
في هذا المثال، نجد أن كل من USWest وUSEast وUSCentral في 3 مستويات وصول منفصلة. لنفترض أنك تريد أن يتمكن المستخدمون من الوصول إلى التطبيقات إذا استوفوا أيٍ من مستويات وصول USWest OR USEast OR USCentral .يمكنك إنشاء مستوى وصول مدمج واحد (يُسمى USRegions) باستخدام المعامل OR. عندما يحين الوقت لتخصيص مستويات الوصول، اختَر مستوى الوصول USRegions على مستوى الوحدة التنظيمية أو المجموعة.
|
اسم مستوى الوصول |
USRegions |
|
يحصل المستخدم على إذن الوصول في حال: |
استيفاء السمات |
|
سمة الشرط 1 (مستوى وصول واحد لكل شرط) |
مستوى الوصول USWest |
|
اربط الشرط 1 بالشرط 2 بالمُعامل المنطقي |
OR |
|
يحصل المستخدم على إذن الوصول في حال: |
استيفاء السمات |
|
سمة الشرط 2 |
مستوى الوصول USEast |
|
اربط الشرط 2 بالشرط 3 بالمُعامل المنطقي |
OR |
|
يحصل المستخدم على إذن الوصول في حال: |
استيفاء السمات |
|
سمة الشرط 3 |
مستوى الوصول USCentral |
طلب مستوى وصول على جهاز كمبيوتر سطح مكتب مملوك للشركة وليس جهاز جوَّال مملوك للشركة
قد تتطلب الشركة جهاز كمبيوتر سطح مكتب مملوك للشركة وليس جهاز جوَّال مملوك للشركة.
احرِص أولاً على إنشاء مستوى وصول لأجهزة الكمبيوتر المكتبي:
|
اسم مستوى الوصول |
aldesktop_access |
|
يحصل المستخدمون على إذن الوصول في حال: |
استيفاء السمات |
|
سمة الشرط 1 |
سياسة الجهاز
تشفير الجهاز = غير متاح نظام تشغيل الجهاز نظام التشغيل macOS = 0.0.0 نظام التشغيل Windows =0.0.0 نظام التشغيل Linux = 0.0.0 نظام التشغيل Chrome = 0.0.0 |
ثم، أنشئ مستوى وصول للأجهزة الجوَّالة:
|
اسم مستوى الوصول |
almobile_access |
|
يحصل المستخدمون على إذن الوصول في حال: |
استيفاء السمات |
|
سمة الشرط 1 |
نظام تشغيل الجهاز نظام التشغيل iOS = 0.0.0 نظام التشغيل Android = 0.0.0 |
فرض حد أدنى من الأمان للجهاز
تتطلب معظم شركات المؤسسات الآن من الموظفين الوصول إلى موارد الشركة من خلال أجهزة مشفَّرة وبحد الأدنى من إصدارات نظام التشغيل. ويطلب بعضها استخدام الموظفين للأجهزة المملوكة للشركة.
يمكنك ضبط هذه السياسات لكل الوحدات التنظيمية بمؤسستك أو للوحدات التنظيمية التي تتعامل مع البيانات الحساسة، مثل الإدارات التنفيذية أو الإدارة المالية أو الموارد البشرية.
توجد العديد من الطرق لضبط السياسات التي تتطلب تشفير الأجهزة وحد أدنى لإصدار نظام التشغيل واستخدام الأجهزة المملوكة للشركة. ولكل منها مزاياها وعيوبها.
مستوى وصول واحد يجم كل متطلبات الأمان
على سبيل المثال، إذا كان جهاز المستخدم مشفرًا ومملوكًا للشركة لكن يعمل بإصدار نظام تشغيل غير متوافق مع السياسة، لن يحصل المستخدم على إذن الوصول.
الميزة: سهولة الإعداد. عند تخصيص مستوى الوصول هذا لأحد التطبيقات، على المستخدم استيفاء جميع المتطلبات للحصول على إذن الوصول.
العيب: لتخصيص متطلبات الأمان لكل وحدة تنظيمية بشكل منفصل، عليك إنشاء مستويات وصول منفصلة لكل متطلب أمان على حدة.
| اسم مستوى الوصول | device_security |
| يحصل المستخدم على إذن الوصول في حال: | استيفاء السمات |
| سمة الشرط 1 (يمكنك إضافة كل السمات إلى شرط واحد أو إنشاء 3 شروط وربطها بالمُعامل AND.) |
نظام تشغيل الجهاز |
3 مستويات وصول منفصلة
على سبيل المثال، يحصل المستخدم الذي يحاول الوصول بجهاز شخصي مشفَّر يعمل بإصدار نظام تشغيل قديم على إذن الوصول.
الميزة: طريقة دقيقة لتحديد مستويات الوصول. يمكنك تخصيص مستويات الوصول بشكل منفصل لمختلف الوحدات التنظيمية.
العيب: على المستخدمين استيفاء الشروط على مستوى وصول واحد فقط.
| اسم مستوى الوصول | device_encryption |
| يحصل المستخدم على إذن الوصول في حال: | استيفاء السمات |
| سمة الشرط 1 |
سياسة الجهاز |
| اسم مستوى الوصول | corp_device |
| يحصل المستخدم على إذن الوصول في حال: | استيفاء السمات |
| سمة الشرط 1 |
سياسة الجهاز |
| اسم مستوى الوصول | min_os |
| يحصل المستخدم على إذن الوصول في حال: | استيفاء السمات |
| سمة الشرط 1 |
سياسة الجهاز |
مستوى وصول واحد بمستويات وصول مدمجة
عند تخصيص مستوى الوصول الرابع للتطبيقات، على المستخدمين استيفاء الشروط المذكورة في مستويات الوصول الثلاثة المدمجة للحصول على إذن الوصول. ويتم الربط بين مستويات الوصول بالمُعامل المنطقي AND.
على سبيل المثال، لا يحصل المستخدم الذي يحاول الوصول بجهاز شخصي مشفَّر يعمل بإصدار نظام تشغيل قديم على إذن الوصول.
الميزة: ستحظى بحرية فصل متطلبات الأمان على مستوى الوصول الأول والثاني والثالث. والاحتفاظ أيضًا بإمكانية فرض سياسة تحتوي على كل متطلبات الأمان من خلال استخدام مستوى الوصول الرابع.
العيب: لن يلتقط سجل التدقيق إلا عمليات رفض إذن الوصول على مستوى الوصول الرابع (ولن يلتقط عمليات الرفض على المستوى الأول والثاني والثالث) لأنه لم يتم تخصيص مستويات الوصول الثلاثة مباشرةً للتطبيق.
أنشِئ ثلاثة مستويات وصول بالطريقة الموضحة في قسم “3 مستويات وصول منفصلة” أعلاه بأسماء: “device_encryption”، و“corp_device”، و“min_os.” ثم أنشِئ مستوى وصول رابع باسم “device_security” يدمج الشروط الثلاث. سيحتوي كل شرط على مستوى الوصول كسمة تابعة له. (يمكنك إضافة سمة مستوى وصول واحدة فقط لكل شرط.)
| اسم مستوى الوصول | device_security |
| يحصل المستخدم على إذن الوصول في حال: | استيفاء السمات |
| سمة الشرط 1 (مستوى وصول واحد فقط لكل شرط) |
مستوى الوصول device_encryption |
| اربط الشرط 1 بالشرط 2 بالمُعامل المنطقي | AND |
| يحصل المستخدم على إذن الوصول في حال: | استيفاء السمات |
| سمة الشرط 1 | مستوى الوصول corp_device |
| اربط الشرط 2 بالشرط 3 بالمُعامل المنطقي | AND |
| يحصل المستخدم على إذن الوصول في حال: | استيفاء السمات |
| سمة الشرط 1 | مستوى الوصول min_os |
