HENNGE Access Control 創建新的存取原則群組 (新式介面)

對象

本文適用於對 HENNGE Access Control 進行初期設定及設定管理的管理員

目的

在 HENNGE Access Control 中創建新的存取原則群組。

注意事項

1. 本文基於 2024 年 4 月時的產品規格撰寫,未來如有變更,將不另行通知。

2. 請使用 HENNGE Access Control 管理員權限確認實際介面及更改設定。

3. 請參考下方文章確認進入管理介面的方式。
 進入 HENNGE Access Control 管理員介面的方法

4. 每個設定項目可輸入的訪問條件式最大字符數為 4096 個字符。

詳細說明 / 步驟 

HENNGE Access Control 創建存取原則群組,請進入管理介面左側選單 [使用者] - [存取原則群組] 截圖 2023-12-06 下午4.21.42.png

創建新存取原則群組的方法

1. 在 HENNGE Access Control 的管理介面的左側選單進入 [使用者] - [存取原則群組]。

2. 點擊右上方的 [新增群組]。

3. 設定各項項目,完成點擊 [送出]。

4. 分配所創建的存取原則群組給使用者。

指派存取原則群組給使用者 (新式介面)

存取原則群組的設定項目

截圖 2023-12-06 下午4.23.19.png

*根據您的契約內容,顯示的項目可能會有所不同。

1. 基本設定

1.1. 顯示名稱

存取原則群組的名稱。

* 顯示名稱的長度需在 256 個字內。

1.2. Cookie 保留時間

本設定有以下2種不同的情境。

使用者在登入介面點選 [記住這次登入] 的情形:存在於瀏覽器中的 Cookie 保留時間。

※ 在瀏覽器中設置認證 Cookie,重啟瀏覽器也會在一定時間內保持登入狀態。(使用者自行登出的場合除外。)

使用者沒有在登入介面上點選/顯示 [記住這次登入] 的情形:HENNGE Access Control 使用者最長的登入保持時間。

※ 沒有選擇/顯示 [記住這次登入] 的情況下,關閉瀏覽器後會被登出 HENNGE Access Control。

預設值為 168 小時,可以設定 9600 小時以下的值。
如果未進行設定,關閉瀏覽器時登入將被視為無效。

1.3. 允許存取的條件

選擇 [總是允許] 允許所有存取。

選擇 [當以下條件允許] 需依照條件式填寫。

設置條件式後,只有在條件式中指定的條件下的存取才會被允許。

一般設定範例: 

・IP 控管:ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate (所有類型的裝置憑證類型):device_cert:any

其他詳細的記述方法,請參考下面的文章。

存取原則條件式的記述方法

選擇 [總是不允許] 將禁止所有存取。

1.4. 允許舊版認證 *與 Microsoft 365 串接時

選擇 [總是允許] 將允許所有舊版認證的存取。

選擇 [當以下條件時允許] 將設置存取條件式,允許使用 SAML ECP 和 Ws-Trust 認證的登入請求。

設置條件式後,只有在條件式中指定的條件下,舊版認證才會被允許。

一般設定範例: 

・IP 控管:ip4:xxx.xxx.xxx.xxx

其他詳細的記錄方法,請參閱以下文章。

存取原則條件式的記述方法

選擇 [總是不允許] 將禁止所有舊版認證的存取。

2. OTP 設定

2.1. 不需要 OTP 的條件

如果選擇 [總是不需要 OTP],則不會要求 OTP。

如果選擇 [當以下條件時不需要 OTP],請輸入不需要 OTP 的條件式。

當設定條件式後,只有符合該條件式的訪問才不需要 OTP。

一般設定範例: 

・IP 控管:ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate (所有類型的裝置憑證類型):device_cert:any

其他詳細的記述方法,請參考下面的文章。

存取原則條件式的記述方法

如果選擇 [總是需要 OTP],則始終要求 OTP。

 

2.2. 變更 OTP 共享金鑰的條件

如果選擇 [總是允許],則始終允許更改 OTP 共享金鑰。

如果選擇 [當以下條件時允許],請輸入允許更改 OTP 共享金鑰的條件式,讓使用者可以從 HENNGE Lock 等 應用程式接收OTP (一次性密碼)

當設定條件式後,只有符合該條件式的存取才允許更改 OTP 共享金鑰。

一般設定範例: 

・IP 控管:ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate (所有類型的裝置憑證類型):device_cert:any

其他詳細的記述方法,請參考下面的文章。

存取原則條件式的記述方法

如果選擇 [總是不允許],則始終不允許更改 OTP 共享金鑰。

※ 將無法點擊紅框部分。

4.png

此外,如果設定 [變更 OTP 通知電子郵件的條件] 為 [總是不允許],則使用者的畫面將隱藏 [OTP(一次性密碼)設定]。
5.png

2.3. 變更 OTP 通知電子郵件的條件

如果選擇 [總是允許],則始終允許更改 OTP 通知郵件地址。

如果選擇 [當以下條件時允許],請輸入允許更改 OTP 通知郵件地址的條件式,以允許使用者設定/更改 應用程式接收OTP (一次性密碼)

當設定條件式後,只有符合該條件式的存取才允許更改 OTP 通知郵件地址。

一般設定範例: 

・IP 控管:ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate (所有類型的裝置憑證類型):device_cert:any

其他詳細的記述方法,請參考下面的文章。

存取原則條件式的記述方法

如果選擇 [總是不允許],則始終不允許更改 OTP 通知郵件地址。

※將無法點擊紅框部分。
6.png

此外,如果設定 [變更 OTP 通知電子郵件的條件] 為 [總是不允許],則使用者的畫面將隱藏 [OTP(一次性密碼)設定]。
5.png

3. 憑證設定

3.1. 使用者檢視裝置憑證的條件*僅適用於 HENNGE Device Certificate 使用者

如果選擇 [總是允許],則始終顯示所擁有的裝置憑證。

如果選擇 [當以下條件時允許],請輸入允許存取 HENNGE Device Certificate(裝置憑證)列表頁面的條件式。

當設定條件式後,只有符合該條件式的存取才會顯示所擁有的裝置憑證。

「裝置憑證」畫面 : 

8.png

一般設定範例: 

・IP 控管:ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate (所有類型的裝置憑證類型):device_cert:any

其他詳細的記述方法,請參考下面的文章。

存取原則條件式的記述方法

[ 總是不允許 ] 則始終不允許檢視裝置憑證。

3.2. 使用者撤銷憑證的條件 *僅適用於 HENNGE Device Certificate 使用者

選擇 [始終允許] 時,將始終允許使用者自行撤銷裝置憑證。

選擇 [當以下條件時允許] 時,請輸入允許使用者自行撤銷裝置憑證的條件式。

當設定條件式後,只有符合該條件式的存取才允許自行撤銷裝置憑證。

「HENNGE Device Certificate 撤銷」畫面 : 

截圖 2023-12-06 下午6.02.21.png

一般設定範例: 

・IP 控管:ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate (所有類型的裝置憑證類型):device_cert:any

其他詳細的記述方法,請參考下面的文章。

存取原則條件式的記述方法

選擇[ 總是不允許 ] 時,將始終不允許自行撤銷裝置憑證。

4. HENNGE Secure Browser 設定

4.1. 進入 Secure Browser 控制台的條件 *僅適用於HENNGE Secure Browser使用者

選擇 [總是允許] 時,將始終允許訪問安全瀏覽器設定頁面。

選擇 [當以下條件時允許] 時,請輸入允許使用者存取「HENNGE Secure Browser設定」頁面的條件式。

當設定條件式後,只有符合該條件式的存取才允許進入安全瀏覽器設定頁面。

"HENNGE Secure Browser設置" 頁面: 

截圖 2023-12-06 下午5.50.58.png

一般設定範例: 

・IP 控管:ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate (所有類型的裝置憑證類型):device_cert:any

其他詳細的記述方法,請參考下面的文章。

存取原則條件式的記述方法

總是[ 總是不允許 ] 時,將始終不允許存取安全瀏覽器設定頁面。

4.2. 變更未讀取電子郵件通知設定的條件*僅適用於HENNGE Secure Browser使用者

選擇 [總是允許] 時,將始終允許更改未讀取電子郵件通知設定。

選擇 [當以下條件時允許] 時,請輸入允許使用者存取 HENNGE Secure Browser 的「未讀取電子郵件通知設定」頁面的條件式。

當設定條件式後,只有符合該條件式的訪問才允許更改未讀取電子郵件通知設定。

"HENNGE Secure Browser 未讀取電子郵件通知設定" 頁面(適用於Microsoft 365):
mceclip0.png

一般設定範例: 

・IP 控管:ip4:xxx.xxx.xxx.xxx

・HENNGE Device Certificate (所有類型的裝置憑證類型):device_cert:any

其他詳細的記述方法,請參考下面的文章。

存取原則條件式的記述方法

選擇[ 總是不允許 ] 時,將始終不允許更改未讀郵件檢查設置。

4.3. 裝置自動驗證*僅適用於HENNGE Secure Browser使用者

HENNGE Secure Browser 的自動裝置驗證設定。

※ 如果啟用自動設備驗證,將自動批准使用者提交的 HENNGE Secure Browser 使用申請。

以下是可用的設定選項。

・預設:使用 [ 網域設定 ] - [Secure Browser 相關] - [一般] - [自動裝置認證] 設定的值。

・啟用:執行自動裝置驗證。

・已停用:不執行自動裝置驗證,由管理員在管理介面上執行裝置驗證

5. 允許的服務

在 HENNGE Access Control 管理介面的 [系統] - [連線的服務] 中,設定對已連接的服務提供商的存取控制。

以下是可用的設定選項。

・允許存取已連線的服務:勾選。

・不允許存取已連接的服務:取消勾選。

相關文章 

HENNGE Access Control 管理員文章一覽

          
這篇文章對您有幫助嗎?