Thales SAS ve Thales STA sunucularının en güçlü özelliklerinden biri provizyon kurallarıdır. Hangi token’ın hangi koşulda otomatik olarak provizyon edilip, iptal edileceğini belirlemek için kullanılırlar. Bu kurallar ile kullanıcıda herhangi bir hizmet kesintisi olmaksızın aynı zamanda ya hiç yada çok az yönetsel bir operasyon ile kullanıcıları statik parolalardan kurtulmalarını sağlayarak “Tek Kullanımlık Parola” kullanımına sorunsuz bir şekilde geçiş yapabilmek mümkün oluyor. Bunun için sunucu üzerinde Provisioning Rules rules ile Pre-Authentication Rules opsiyonlarını kombine ederek kullanmak mümkündür.
Kullanıcının grup üyelikleri ve diğer kullanıcı özellikleri değiştiğinde kurallar tetiklenir. Örneğin, bir kurala dahil olan bir gruba kullanıcı eklenirse, SAS ve STA kullanıcıya bir OTP token sağlar. Tersine, bir kullanıcı kurala dahil olan bir gruptan çıkarılırsa, SAS ve STA OTP Token’ı iptal eder.
Provizyon kurallar internal gruplar ile veya LDAP senkroniasyon grupları ile kullanılıyor olabilir. Provizyon kurallarının LDAP senkronizasyon kuralları ile senkronize veya entegre ederek, operatörün müdahalesine gerek kalmadan Tokenların otomatik olarak atanması ve iptal edilmesi sağlanabilir.
NOT: Bu gruplardaki kullacılar mutlaka bir e posta adresine, mobile/sms numarasına (token tipine göre değişiklik gösterebilir) sahip olmalıdır. Aksi taktirde SAS ve STA sunucuları bu token tipleri ile otomatik provizyon gerçekleştiremezler.
Bir Provizyon kuralı oluşturmak için aşağıdaki adımları izleyin:
- STA veya SAS yönetim konsolu üzerinden > Policy > Automation Policies > Provisioning Rules menüsüne ilerleyin;
- Yeni bir Rule yaratmak için New Rule butonunu seçerek ilerleyin.
3. Provizyon Rules opsiyonlarını düzenlemeye devam edin.
-Rule Name
Rule Name—Benzersiz ve kural için tanımlayacak isim alanı.
Token Type—Burası kural değerlendirilirken kullanılacak token tipinin seçildiği alandır.
Issue Duplicate Types—Eğer seçilmemişse, kullanıcı bu provizyon kuralında atanan token tipine zaten sahip ise, ilgili token tekrar atanmaz. Bunun sonucu olarak başka bir provizyon kuralı ile yada kullanıcıya el ile istenilen token atanmalıdır.
Auto Revoke—Eğer işaretliyse, kullanıcı kural tarafından izlenen gruptan çıkartılırsa ve ilgili token kullanıcı gruptan çıkartıldığında silinmek istenirse seçin.
NOT: Bu seçeneği yalnızca bir kullanıcı STA veya SAS ile senkronizasyonu devam eden durumda kaldığında ancak provizyon kuralı artık geçerli olmadığında seçin. Bir kullanıcı SAS ve STA’dan kaldırılırsa (örneğin, artık bir senkronizasyon grubunun parçası olmadığı için), Auto Revoke’un seçili olup olmadığına bakılmaksızın tüm belirteçleri iptal edilir.
Notify Users With Active Provisioning Revoke—Eğer işaretliyse, provizyon kuralları tarafından sahip oldukları token silindiğinde kullanıcılar bildirilecektir.
Container—Kuralın geçerli kabul edilebilmesi için kullanıcının doğru konteynır altında olması gerekir.
Require Expiring—Atanan belirteçlerin sona erme tarihinden N gün önce yeni bir belirteç sağlamak için bu seçeneği işaretleyin. Ayrıca Auto Revoke‘u seçerseniz, değiştirilen token, kullanıcı yeni token’ı kaydettirdikten sonra iptal edilir.
Require In-Service Expiry—Bu seçenek, uzun süredir sahada olan ve pilin değiştirilmesi gerekebilecek tokenları değiştirmek için kullanılır. N yıldan uzun süredir kullanılmakta olan atanmış token’lar için bir yedek token sağlamak için bu seçeneği etkinleştirilir. Auto Revoke ile de kullanıcıların yeni token’ları alması ile eski token’lar otomatik olarak iptal edilmesi için kullanılabilir.
Target Groups—Kuralın geçerli olduğu gruplar.
Affected Group Members
–Users that belong to ANY of the target groups. (OR Logic. Highly Recommended.)
Bir kural içinde birden fazla grup seçilirse ve kural her iki gruptan birine dahil olan tüm kullanıcılar için uygulanacaktır.
–Users that belong to ALL of the target groups. (AND Logic. Use with Caution.)
Bu kural içinde birden fazla grup seçilirse, yalnızca seçilen tüm gruplara dahil olan kullanıcılar kurala dahil edilir. Örneğin, GroupA, GroupB ve GroupC seçilmişse, yalnızca GroupA, AND GroupB ve AND GroupC’ye dahil olan kullanıcılar kurala dahil edilir.
Affected group members hakkında
GrupA için bir provizyon kuralı oluşturduğunuzu düşünün. Başlangıçta o kural gruptaki tüm kullanıcılar için geçerlidir. Ancak bu durum, orijinal kurala bir grup daha eklerseniz değişebilir. Aşağıdaki senaryolarda bu değşimin VE mantığı mı yoksa VEYA mantığı mı uyguladığınıza göre değişimini açıklayacağım.
DIKKAT: Mevcut bir provizyon kuralına bir grup eklerseniz, kuralın etkisini önemli ölçüde ve beklenmedik bir şekilde değiştirebilirsiniz. Örneğin, tokenları provizyon eden bir kuralda ve Otomatik İptal Et’in seçili olduğu bir AND mantığının olduğu bir provizyon kuralı bir grup daha eklerseniz, orijinal grupta olan ve aynı zamanda yeni grubun üyesi olmayan tüm kullanıcılardan tokanları iptal edilir.
Senaryo 1: Users that belong to ANY of the target groups. (OR logic. Highly recommended.)
Hedef gruplardan herhangi birine dahil kullanıcıları seçerseniz ve Bgrubunu var olan kurala eklerseniz, kural aşağıdaki tabloda gösterdiğimiz gibi GroupA ve GroupB içerisine dahil olan TÜM kullanıcılara uygulanır.
If you select Users that belong to ANY of the target groups and apply rule One to Group B (that is, add Group B to rule One) the rule applies to ALL users from Group A and Group B, as shown in the following table:
| Grup | Kullanıcılar | Eylem |
|---|---|---|
| A | Ali, Ayse, Canan, Deniz, Emine, Ferdi | Birinci kurala B Grubunu ekledikten sonra, kuralın uygulanacağı kullanıcılar Can, Deniz ve Erdi’yi (kuralda listelenen gruplardan HERHANGİ BİRİNE ait olan kullanıcılar) içerecek şekilde genişletilir. Kural olarak, A ve B Gruplarından hiçbir kullanıcının jetonları iptal edilmez. |
| B | Ayse, Can, Deniz, Erdi, Ferdi |
Scenario 2: Users that belong to ALL of the target groups. (AND logic. Use with caution.)
If you select Users that belong to ALL of the target groups and apply rule One to Group B add Group B to rule One), the rule applies to only the users who belong to both Group A AND Group B, as shown in the following table (that is, Betty and Fred).
| Group | Users | Comment |
|---|---|---|
| A | Ali, Ayse, Canan, Deniz, Emine, Ferdi | Kurala GrupB eklendikten sonra, kuralın uygulanacağı kullanıcılar Ayşe ve Ferdi’dir. (Kuralda listelenen TÜM gruplara dahil olan kullanıcılar) Otomatik İptal aktifse eğer, TÜM gruplara ait olmayan birinci kural tarafından önceden jeton atanan kullanıcıların jetonları iptal edilir. (Ayşe, Canan, Deniz ve Emine) |
| B | Ayse, Can, Deniz, Erdi, Ferdi |
Provisioning rules ‘u iç içe gruplara uygulama
Otomatik provizyon iç içe gruplardaki kullanıcılar için aktif edilebilir. Etkinleştirildiğinde, bir üst grup için provizyon kuralları, SAS ve STA server’daki tüm iç içe geçmiş gruplarına uygulanır. Etkinleştirildiğinde, bir üst grup için provizyon kuralları, Thales SAS ve Thales STA server’daki tüm iç içe geçmiş gruplarına uygulanır. Bu politika, kullanıcı ve rol provzyonları içinde geçerlidir. SAML servisi provizyonu bu ayardan bağımsız olarak iç içe gruplardaki kullanıcılar için zaten geçerlidir.
STA Token Yönetim konsolunda, Policy > Automation Policies > Provisioning Policy.
Provisioning Rules will use nested group relations. I seçin