# Reglas ## General Se aplicarán todas las reglas que haya configurado **después de** la autenticación exitosa de credenciales, lo que significa que las reglas solo entran en vigor después de que se hayan proporcionado credenciales de autenticación válidas. Esto implica que, para superar la primera barrera de autenticación, se deben añadir credenciales válidas de **Trusted Roots** (autenticación basada en certificados) o **Usuarios** (autenticación basada en nombre de usuario y contraseña) a su instancia. ### Regla predeterminada Para evitar interrupciones en cualquier instancia existente o en caso de que no desee usar en absoluto el motor de reglas, se permite cualquier autenticación si no hay ninguna regla definida de forma predeterminada. Esto se realiza mediante nuestra regla predeterminada **Se permite cualquier autenticación**. {% hint style="warning" %} La regla predeterminada **Se permite cualquier autenticación** sigue requiriendo la presencia de credenciales de autenticación válidas para una autenticación de red correcta. {% endhint %} ### Orden de ejecución de las reglas Si tiene varias reglas configuradas, se aplicarán en el orden en que las ve en su portal web: de arriba abajo. La única excepción es la **Se permite cualquier autenticación** regla, que se tratará como último paso en caso de que esté configurada. Esto es especialmente útil durante un escenario de introducción progresiva, en el que quizá no esté seguro de que sus reglas cubran todos los casos de uso o ubicaciones. Todas las solicitudes de autenticación rechazadas por las reglas anteriores seguirán siendo aceptadas por la regla predeterminada. En el panel de control podrá observar entonces los dispositivos/usuarios que fallan para todas las demás reglas y corregir/ampliar las reglas en consecuencia. En caso de que termine teniendo un gran número de reglas, recomendamos, por el bien de mantener un alto rendimiento, ordenar las reglas de manera que las reglas más probables se apliquen primero.

Mostrando reglas

## Opciones de regla ### Autenticación * Permitir solo fuentes de autenticación específicas * p. ej., WiFi o LAN (el soporte para VPN está en progreso) * Permitir solo tipos de autenticación específicos * p. ej., certificado o nombre de usuario y contraseña #### Autenticación basada en certificados * Permitir solo CA de confianza específicas (CA raíz o emisoras) * Permitir solo ID de Intune específicos o ignorar por completo el atributo del certificado #### Autenticación basada en nombre de usuario y contraseña * Permitir solo nombres de usuario que coincidan con un patrón Regex ### Configuración #### Restricciones de infraestructura * Defina qué **SSID** están permitidos * Defina qué **Puntos de acceso o conmutadores de red** están permitidos (basado en MAC) #### Asignación de VLAN Asignar IDs de VLAN ... * Estáticamente * Mediante la evaluación de un **extensión de certificado** * Mediante el análisis de atributos en su certificado **nombre del sujeto** #### Atributos adicionales de retorno de RADIUS De forma predeterminada, puede seleccionar de la siguiente lista de atributos de retorno que puede devolver como parte de una regla coincidente: * Filter-Id * Fortinet-Group-Name * Framed-MTU * Tunnel-Password * Cisco-AVPair * Class {% hint style="info" %} Los atributos de retorno de RADIUS permiten a los administradores de red definir configuraciones específicas para usuarios o grupos individuales. Por ejemplo, * Para la configuración del perfil de usuario, un atributo puede especificar la duración máxima de la sesión, los servicios permitidos (como VPN o Wi‑Fi) y el método de asignación de dirección IP. * Para la asignación dinámica de direcciones IP, un atributo podría especificar que el usuario debe recibir una dirección IP estática o usar DHCP para la asignación dinámica. * Para el control de acceso y la autorización, un atributo determina el nivel de acceso del usuario (por ejemplo, invitado, empleado, administrador) y cualquier restricción (por ejemplo, límites de tiempo). * Para la gestión de sesiones, un atributo puede especificar el tiempo de espera de la sesión (cuánto tiempo puede permanecer conectado el usuario), el tiempo de inactividad (desconectar tras inactividad) y el número máximo de inicios de sesión simultáneos. * Para la calidad de servicio (QoS), un atributo podría priorizar el tráfico de voz sobre el tráfico de datos para un usuario específico. Los proveedores pueden crear sus propios atributos personalizados (atributos específicos del proveedor o VSA). Estos permiten funcionalidades adicionales más allá de los atributos estándar del IETF. Los VSA se encapsulan dentro del atributo estándar 26. {% endhint %} Devolver atributos adicionales de RADIUS ... * Estáticamente * Mediante la evaluación de un **extensión de certificado** * Mediante el análisis de atributos en su certificado **nombre del sujeto**