TOPICS

HDE Access Control 測試項目

創造測試環境

步驟 1 - 請用您的管理員帳戶登入至 Access Control 管理控制台,

https://ap.ssso.hdems.com/admin/您的網域

步驟 2 -  存取原則群組點擊新的存取原則群組。

步驟 3 - 輸入存取原則群組詳細資料

請根據範本如下輸入存取原則群組詳細資料。

請命名新建存取原則群組為「Test Policy Group」。

請在「允許存取的條件」輸入您的公司網絡 IP 地址如「ip4:xxx.xxx.xxx.xxx」. 請注意在範本裡的 「111.111.111.111」只是供参考用途,不要輸入。加入 「has_pass:true」以便擁有通行證用戶能夠登入系統即使不是處在您的公司網絡。


請在「變更 OTP 密碼的條件」, 「變更 OTP 通知電子郵件的條件」,「進入 Secure Brwoser 控制台的條件」,輸入 「login_name:test」以便用戶名「test」擁有權力配置 OTP 設定, OTP Notification Email Settings 和 Secure Browser Control Panel。「false」是為了確保只有用戶名「test」擁有權力配置。

步驟 4 - 把已存在的其中一個用戶分配至 「Test Policy Group」

點擊「編輯」更改已存在的其中一個用戶如下:

在「存取原則群組」,選擇剛新增的「Test Policy Group」,然後點擊「送出」。

步驟 5 - 配置通行證發行條件

點入「網域設定」,然後到 「其它設定」後點入「編輯」。

選擇「啟用」並輸入「ip4:111.111.111.111」。 點擊「送出」

創造了新的「存取原則群組」和用戶「test」後,您已準備好進行實際測試。

Access Control 測試 (存取原則群組)

A1. 在公司網絡外和沒有通行證的用戶能夠登入雲端服務嗎?

答案是「不可以」,因為根據「Test Policy Group」,用戶如不在公司網絡內和沒有通行證的情況下是不被允許登入的。

步驟 1 - 連接至公司外的網絡.

在此測試,範本公司網絡為「111.111.111.111」,請連接至任何 「111.111.111.111」以外的網絡。

步驟 2 - 登入至任何雲端服務,例如,Access Control User Console

https://ap.ssso.hdems.com/sso/您的網域/login

您將會被禁止登入因為「Test Policy Group」申明只有在公司網絡內的用戶或擁有通行證者允許登入。

A2.  在公司網絡外和擁有通行證的用戶能夠登入雲端服務嗎?

答案是「可以」,因為根據「Test Policy Group」,用戶如不在公司網絡內但擁有通行證的情況下是被允許登入的。

步驟 1 - 連接至公司網絡。

在此測試,範本公司網絡為「111.111.111.111」,請連接至「111.111.111.111」

步驟 2 - 登入至任何雲端服務然後被給予通行證。

例如,Access Control 用戶控制台 https://ap.ssso.hdems.com/sso/您的網域/login

每當用戶成功登入服務,系統將給予通行證至用戶的瀏覽器以便該用戶能夠登入雲端服務即使用戶不是處於公司網絡內。另外,您也可以設置通行證的壽命至您想要的時間。在此測試通行證的壽命是7天。

步驟 3 - 連接至公司外的網絡。

在此測試,範本公司網絡為「111.111.111.111」,請連接至任何「111.111.111.111」以外的網絡。

步驟 4 - 登入至任何雲端服務。

這次您應會成功地登入雖然您不在公司網絡裡,因為您的瀏覽器存有通行證。

A3. 在公司網絡外和擁有通行證的用戶能夠直接登入雲端服務而不被要求輸入OTP嗎?

答案是「可以」,因為根據 「Test Policy Group」,用戶如要登入系統而不在公司網絡內但擁有通行證的情況是不會被要求輸入OTP。

步驟 1 - 連接至公司外的網絡。

步驟 2 - 登入至任何雲端服務。

您將會被允許直接登入若您符合以下其中一項條件:

1)處在公司網絡內 或 2)擁有通行證

因為測試用戶已被登入所以測試用戶應存有通行證, 所以您將不會被要求輸入OTP可直接登入至系統內。

注意如果「Test Policy Group」是這樣配置的話:

如果「has_pass:true」被換成「false」如上, 被允許直接登入而不被要求輸入OTP的唯一條件是連接至公司的網絡。

A4. 用戶是否可以存取OTP的設置界面嗎?

答案是「可以」,因為根據「Test Policy Group」,用戶「test」擁有存取OTP的設置界面的特殊權限 (login_name:test)。 

登入至 Access Control 用戶控制台 https://ap.ssso.hdems.com/sso/您的網域/login

因為「Test Policy Group」已被設置成如下,所以用戶「test」擁有存取OTP的設置介面的特殊權限。

登入之後,您將可以看見「OTP(一次性密碼)設定」在用戶控制台界面裡。

點入「OTP(一次性密碼)設定」, 您將進入OTP設置界面。

A5. 用戶是否可以更改OTP接收電郵地址嗎?

答案是「可以」,因為根據「Test Policy Group」,用戶「test」擁有更改OTP接收電郵地址的特殊權限 (login_name:test)。

登入至 Access Control 用戶控制台

因為「Test Policy Group」已被設置成如下,所以用戶「test」擁有更改OTP接收電郵地址的特殊權限。

登入之後,您將可以看見「OTP(一次性密碼)設定」在用戶控制台界面裡。

點入「OTP(一次性密碼)設定」,您將進入OTP設置界面。

注意如果「Test Policy Group」是這樣配置的話:

這代表沒有任何一個用戶擁有權限在用戶控制台界面裡存取「OTP(一次性密碼)設定」。

用戶控制台界將會變成:

A6. 用戶是否可以存取HDE Secure Browser settings的設置界面嗎?

答案是「可以」,因為根據「Test Policy Group」,用戶 「test」擁有存取HDE Secure Browser 設定的設置介面的特殊權限 (login_name:test)。

登入至 Access Control 用戶控制台

因為「Test Policy Group」已被設置成如下,所以用戶「test」擁有存取HDE Secure Browser 設定的設置介面的特殊權限。

登入之後,您將可以看見「HDE Secure Browser 設定」在用戶控制台界面裡。

點入「HDE Secure Browser 設定」, 您將進入HDE Secure Browser 設定設置界面。

A7. 在存取記錄上可以看到哪些活動?

在存取記錄上,系統管理者可以看到歷史登入的相關訊息包含登入時間日期、登入使用者、IP位址、裝置類型和登入狀態。

  • 登入已驗證:當使用者正確的輸入了帳戶跟密碼並成功的登入。
  • 密碼不正確:當使用者輸入了錯誤的密碼,並無法成功登入。
  • 已鎖定:當使用者嘗試登入某個帳號多於「允許的登入失敗次數」,該帳號將會被鎖定。
  • 存取原則已拒絕:當使用者輸入了正確的帳戶和密碼,可是由於存取原則的關係而無法登入。

A8. 我要如何一次新增多個使用者?

如果欲一次滙入大批使用者,請參考此連結:HDE Access Control 管理操作說明 : 使用者設定 (存取原則群組)

          
這篇文章對您有幫助嗎?

常見問題

由 Zendesk 提供支援