您必须编辑策略规则以选择在 VMware Identity Manager 中配置的身份验证方法,并设置在进行身份验证时使用这些方法的顺序。

前提条件

已将“密码 (本地目录)”身份验证方法应用于系统目录。默认访问策略包含一个将密码(本地目录)配置为回退方法的策略规则,以便管理员可以登录到 VMware Identity Manager 控制台。请参阅为系统管理员用户配置身份验证方法

创建应用于所配置的每个目录中所有身份验证方法的策略规则。如果目录使用未在策略规则中配置的身份验证方法,该目录中的用户将无法登录。

过程

  1. VMware Identity Manager 控制台的“身份和访问管理”选项卡中,选择管理 > 策略
  2. 单击编辑默认策略
  3. 您可以将策略名称改为更具体的名称。例如,“公司基本访问策略”。

    除非将应用程序分配给特定于 Web 的访问策略,否则,策略将应用于目录中的所有应用程序。

  4. 单击下一步以打开“配置”页面。
  5. 选择要编辑的规则名称,如果要添加策略规则,请单击添加策略规则

    选项

    描述

    如果用户的网络范围为

    确认网络范围正确。如果是在添加规则,请选择网络范围。

    并且用户访问内容来自

    选择此规则管理的设备类型。如果使用 Workspace ONE 应用程序访问 Workspace ONE 和资源,在创建第一个规则时,需将 Workspace ONE 应用程序配置为设备类型。

    并且用户属于组

    如果此访问规则将应用于特定组,请在搜索框中搜索组。

    如果未选择组,此访问策略规则将应用于所有用户。

    然后执行此操作

    选择使用以下方法进行身份验证...

    则用户可以使用以下方法进行身份验证

    配置身份验证方法顺序。选择首先应用的身份验证方法。

    如果要求用户通过两种身份验证方法进行身份验证,请单击 +,并在相应的下拉菜单中选择第二种身份验证方法。

    如果之前的方法失败或不适用,则

    配置回退身份验证方法。

    在以下时间后重新进行身份验证

    选择会话时长,用户在该时间之后必须重新进行身份验证。

  6. (可选)在高级属性中,创建自定义的访问被拒绝错误消息,当用户身份验证失败时会显示该消息。您最多可以使用 4000 个字符,约相当于 650 个单词。如果您希望将用户转到其他页面,请在“自定义错误链接 URL”文本框中输入相应的 URL 链接地址。在“自定义错误链接”文本框中,输入用来描述自定义错误链接的文本。此文本为链接。如果您将此文本框留空,则会显示“继续”字样作为链接。
  7. 单击下一步以查看规则,然后单击保存

下一步做什么

根据需要创建更多规则。

创建所有规则后,按照规则的应用顺序对列表中的规则进行排序。如果使用 Workspace ONE 应用程序访问 Workspace ONE 和其他资源,请确保 Workspace ONE 应用程序是列表中的第一个规则。

编辑后的策略规则将立即生效。

图 1. 默认访问策略配置