MFA Atlama Politikası
MFA Atlama Politikası, belirli koşulları karşılayan kullanıcıların tanımlanan bir süre boyunca çok faktörlü kimlik doğrulamayı atlamasına olanak tanır. Bu özellik; kurumsal VPN kullanıcıları, ayrıcalıklı hesaplar veya güvenilir iş istasyonlarından oturum açan kullanıcılar gibi belirli koşullar altında MFA yükünü azaltmak için tasarlanmıştır.
MFA Atlama Politikası oluşturma formu - Auth profile, kullanıcı kısıtlaması ve atlama süresi
Nasıl Çalışır
Bir kullanıcı kimlik doğrulamaya çalıştığında sistem MFA Atlama Politikalarını sırayla değerlendirir:
- Politika Listesi Yinelemesi — Sistem, uygulamaya atanmış MFA Atlama Politikalarını öncelik sırasına göre değerlendirir.
- Kullanıcı Kısıtlaması Kontrolü — Politika tüm kullanıcılara mı, yoksa belirli bir koşul özniteliğine göre seçilmiş kullanıcılara mı uygulanıyor diye kontrol edilir.
- Kimlik Doğrulama Profili Eşleşmesi — Kullanıcının kimlik doğrulaması, politikada belirtilen Auth Profile ile gerçekleşiyor mu diye kontrol edilir.
- Eşleşme Değerlendirmesi — Hem kullanıcı kısıtlaması hem de kimlik doğrulama profili koşulları sağlanıyorsa politika eşleşir.
- Atlama Uygulaması — Eşleşen politika, yapılandırılmış Bypass Duration için MFA gereksinimini kaldırır.
- Oturum Kaydı — Atlama olayı denetim günlüklerine yazılır.
- Süre Takibi — Sistem, atlama süresinin dolduğu zamanı kaydeder; süre dolduğunda MFA tekrar uygulanır.
- Eşleşme Yoksa Normal Akış — Hiçbir politika eşleşmezse kullanıcı normal MFA akışına tabi tutulur.
Politika Alanları
| Alan | Açıklama |
|---|---|
| Name | Politika için benzersiz, tanımlayıcı bir ad |
| Auth Profile | Bu politikanın uygulanacağı kimlik doğrulama profili. Politika yalnızca kullanıcı bu profil üzerinden doğrulandığında devreye girer. |
| User Restriction | Politikanın kapsadığı kullanıcı grubunu belirler: All Users veya Condition |
Kullanıcı Kısıtlaması: All Users
All Users seçildiğinde politika, seçilen Auth Profile üzerinden kimlik doğrulayan tüm kullanıcılara uygulanır.
Kullanıcı Kısıtlaması: Condition
Condition seçildiğinde ek alanlar görünür:
| Alan | Açıklama |
|---|---|
| Condition Attribute | Kullanıcı profilinde değerlendirilecek öznitelik (örn. department, memberOf, title) |
| Condition | Karşılaştırma operatörü: equals, contains, starts_with, ends_with, regex |
| Attribute Value | Özniteliğin eşleşmesi gereken değer |
Hem kimlik doğrulama profili hem de koşul sağlanmadıkça politika uygulanmaz.
Atlama Süresi
| Seçenek | Değer | Açıklama |
|---|---|---|
| Bu oturum için | session | Atlama yalnızca mevcut oturum süresince geçerlidir |
| 1 Saat | 60 | 60 dakika boyunca MFA atlanır |
| 8 Saat | 480 | 8 saat boyunca MFA atlanır (tipik iş günü) |
| 24 Saat | 1440 | 24 saat boyunca MFA atlanır |
| 7 Gün | 10080 | 7 gün boyunca MFA atlanır |
| 30 Gün | 43200 | 30 gün boyunca MFA atlanır |
| Özel | Dakika | Dakika cinsinden özel bir süre girin |
Öncelik ve Sıralama
Birden fazla MFA Atlama Politikası aynı uygulamaya atandığında sistem bunları öncelik sırasına göre değerlendirir. İlk eşleşen politika uygulanır; geri kalanlar değerlendirilmez. Politikaları öncelik listesinde sürükleyip bırakarak yeniden sıralayabilirsiniz.
Uygulamalara Atama
MFA Atlama Politikaları doğrudan uygulama yapılandırmasından atanır:
- Applications bölümüne gidin ve ilgili uygulamayı açın.
- MFA Bypass Policies bölümünü bulun.
- Uygulamak istediğiniz politikaları seçin ve öncelik sırasını belirleyin.
- Değişiklikleri kaydedin.
Davranış Ayrıntıları
| Senaryo | Davranış |
|---|---|
| Atlama süresi içinde kullanıcı tekrar oturum açar | MFA istenmez |
| Atlama süresi dolarken kullanıcı aktif oturumda | Aktif oturum etkilenmez; bir sonraki oturum açmada MFA yeniden uygulanır |
| Risk Motoru High önem düzeyinde değerlendirme yapar | Atlama politikasına bakılmaksızın MFA uygulanabilir (risk politikası yapılandırmasına bağlı) |
| Kullanıcı birden fazla eşleşen politikaya sahip | Yalnızca en yüksek öncelikli politika uygulanır |
| Kullanıcı farklı bir cihazdan oturum açar | Atlama cihaza özgü değilse geçerliliğini korur |
Kullanım Senaryoları
Kurumsal VPN
Kurumsal VPN üzerinden bağlanan kullanıcılar için MFA'yı atlayın. VPN kimlik doğrulamasının kendisi güçlü bir faktör olarak kabul edildiğinden çift doğrulama yükü azaltılır.
Yapılandırma: Auth Profile = VPN LDAP Profili, User Restriction = All Users, Bypass Duration = 8 Saat
Ayrıcalıklı Kullanıcılar
Yöneticiler için daha uzun atlama süreleri tanımlayarak sık MFA istemlerini azaltın; ancak ayrıcalıklı hesapların güvenliğini güçlü kimlik doğrulama profiline bağlayın.
Yapılandırma: Auth Profile = Admin LDAP Profili, Condition = memberOf contains CN=Admins, Bypass Duration = 1 Saat
İş İstasyonu Oturumu
Güvenli iş istasyonlarından oturum açan kullanıcılar için makine sertifikası veya Windows kimlik bilgisi tabanlı kimlik doğrulamasını kabul edin ve MFA gereksinimini kaldırın.
Yapılandırma: Auth Profile = İş İstasyonu RADIUS Profili, User Restriction = All Users, Bypass Duration = Bu oturum için
Kurulum Adımları
- Access Control → MFA Bypass Policies sayfasına gidin.
- Add Policy düğmesine tıklayın.
- Name alanına tanımlayıcı bir ad girin.
- Auth Profile açılır listesinden uygun profili seçin.
- User Restriction seçeneğini belirleyin. Koşul tabanlı kısıtlama için öznitelik, operatör ve değeri doldurun.
- Bypass Duration değerini seçin.
- Save düğmesine tıklayın.
- Politikayı ilgili uygulamaya atayın.
Önemli Notlar
- MFA Atlama Politikaları yalnızca politikanın atandığı uygulamalar için geçerlidir.
- Atlama süresi, kullanıcının başarıyla kimlik doğrulama yaptığı andan itibaren hesaplanır.
- Atlama politikaları denetim günlüklerine kaydedilir; hangi kullanıcıların MFA'yı ne zaman atladığı izlenebilir.
- Risk tabanlı meydan okumalar, yapılandırmaya bağlı olarak atlama politikalarını geçersiz kılabilir.
- Atlama politikalarının uygulandığı hesaplar için güçlü ilk kimlik doğrulama profilleri kullanılması önerilir.