Workspace ONE Access 服务中,您可以创建具有规则的访问策略,以允许用户在当前规则的身份验证失败时转到下一个规则。通常,在执行第一个匹配规则中的条件时,将会终止执行访问策略。

如果当前规则的身份验证失败,该策略规则跳转选项允许规则评估转到策略中的下一个匹配规则。在您启用“转到下一个规则”选项时,您可以分别为一组不同的用户配置具有网络范围、设备类型和组成员资格条件的跳转规则。

例如,如果您希望让普通员工将“证书(云部署)”作为他们的身份验证方法,并让合同工将“密码”作为他们的身份验证方法,您可以在默认访问策略中启用如果身份验证失败,则转到下一个规则规则跳转选项。您可以为普通员工创建一个基于组的规则以将“证书(云部署)”作为身份验证方法,并为合同工创建另一个基于组的规则以将“密码”作为身份验证方法。

访问策略配置示例如下所示。

规则 1 配置:
  • 网络范围是所有网络
  • 用户可以从任何设备中访问内容
  • 用户属于所有用户
  • 使用证书(云部署)进行身份验证
  • 启用了“如果身份验证失败,则转到下一个规则切换开关”

在任何用户尝试登录时,将向他们显示第一个规则。即,对使用证书(云部署)的用户进行身份验证。对于不使用证书(云部署)的用户,将向他们显示第二个规则。

规则 2 配置:
  • 网络范围是所有网络
  • 用户可以从任何设备中访问内容
  • 用户属于合同工
  • 使用密码(云部署)进行身份验证
  • 停用了“如果身份验证失败,则转到下一个规则切换开关”

在向合同用户显示第二个规则时,将要求他们输入密码。在他们输入密码后,将对他们进行身份验证。由于停用了如果身份验证失败,则转到下一个规则,如果用户被拒绝访问,则不会显示其他规则。

对于您创建的每个策略规则,您可以创建自定义访问被拒绝错误消息;在用户尝试登录时,如果由于其凭据无效而失败,则会显示该错误消息。如果在启用了如果身份验证失败,则转到下一个规则时配置自定义错误消息,除非您为后续规则配置新的自定义错误消息,否则,将为后续规则执行第一个规则中配置的自定义错误消息和链接。

过程

  1. Workspace ONE Access 控制台的资源 > 策略页面中,添加一个策略或编辑现有的策略。
  2. 适用于中,选择该策略适用的应用程序。
    如果未选择任何应用程序,则该策略在用户登录到 Workspace ONE Intelligent Hub 门户时适用。
  3. 单击下一步以打开配置页面。
  4. 选择要编辑的规则名称,如果要添加策略规则,请单击添加策略规则
    选项 描述
    如果用户的网络范围为 确认网络范围正确。如果是在添加规则,请选择网络范围。
    并且用户访问内容来自 选择此规则管理的设备类型。
    并且用户属于组 选择该规则适用的组。
    然后执行此操作 选择使用以下方法进行身份验证...
    则用户可以使用以下方法进行身份验证 配置要使用的第一种身份验证方法。例如,证书(云部署)。
    如果之前的方法失败或不适用,则 (可选)配置回退身份验证方法。
    如果身份验证失败,则转到下一个规则 要将该规则设置为在身份验证失败时转到策略中的下一个规则,请启用该选项。
    在以下时间后重新进行身份验证 选择会话时长,用户在该时间之后必须重新进行身份验证。

    如果启用了如果身份验证失败,则转到下一个规则,则重新身份验证是从执行的最后一个规则中确定的。
  5. (可选)在高级属性中,如果启用了如果身份验证失败,则转到下一个规则,您可以创建在用户身份验证失败时显示的自定义访问错误消息以说明应转到下一个规则。除非您为后续规则配置新的自定义错误消息,否则,将为后续规则执行第一个规则中配置的自定义错误消息和链接。
  6. 单击下一步,然后单击保存
  7. 单击添加策略规则,并继续将规则配置为在身份验证失败时转到另一个规则。
  8. 在策略中配置最后一个规则后,停用如果身份验证失败,则转到下一个规则