您可以在 Workspace ONE Access 服务的默认访问策略中为 FIDO2 创建两个策略规则:注册规则和身份验证规则。

前提条件

Workspace ONE Access 服务中启用并配置了 FIDO2 身份验证。请参阅如何在 Workspace ONE Access 中配置 FIDO2 无密码身份验证(仅限云部署版本)

过程

  1. Workspace ONE Access 控制台的资源 > 策略页面中,选择编辑默认策略
  2. 单击下一步以打开“配置”页面。
  3. 要创建注册规则,请单击添加策略规则
    选项 描述
    如果用户的网络范围为 选择网络范围。
    确保您选择的网络范围涵盖用于 FIDO2 注册的所有最终用户 IP 地址。
    注: 如果选择“所有范围”,请验证定义的 IP 地址是否包含所有可能的最终用户客户端 IP 范围。
    并且用户访问内容来自 选择设备类型所有设备类型
    并且用户属于组 如果此访问规则将应用于特定组,请在搜索框中搜索组。

    如果未选择组,此访问策略规则将应用于所有用户。

    并且用户正在注册 FIDO2 身份验证器 将此选项设置为
    然后执行此操作 选择使用以下方法进行身份验证...
    则用户可以使用以下方法进行身份验证 配置允许用户向其帐户注册身份验证器之前提供给用户的身份验证方法。
    如果之前的方法失败或不适用,则 (可选)配置回退身份验证方法。
    注: 如果要从 Workspace ONE Access 控制台注册 FIDO2 密钥,则不需要注册策略规则。
  4. 单击保存。此时将显示“配置”页面。
  5. 要创建身份验证规则,请单击添加策略规则
    选项 描述
    如果用户的网络范围为 选择网络范围。
    并且用户访问内容来自 选择设备类型所有设备类型
    并且用户属于组 如果此访问规则将应用于特定组,请在搜索框中搜索组。

    如果未选择组,此访问策略规则将应用于所有用户。

    并且用户正在注册 FIDO2 身份验证器 切换到
    然后执行此操作 选择使用以下方法进行身份验证
    则用户可以使用以下方法进行身份验证 选择 FIDO2
    如果之前的方法失败或不适用,则 (可选)
  6. 单击保存
  7. 在“配置”页面中,将 FIDO 注册策略规则移到 FIDO2 身份验证策略规则上方,以允许用户注册。
  8. 单击下一步,然后单击保存
    对登录时的“访问被拒绝”问题进行故障排除

    当用户登录并收到访问被拒绝消息时,可能无法正确配置访问策略。

    • 在 Workspace ONE Access 控制台中,打开监控 > 报告页面,然后选择审核事件报告。
    • 创建报告。选择用户名;对于类型,选择 LOGIN_ERROR
    • 选择查看详细信息

      在事件日志中,如果日志条目显示 "requestParams" : "[fido2Enrollment]", "message" : "No matching policy found.",请确保 FIDO2 最终用户注册策略规则包含所有必需的 IP 范围。检查“所有范围”设置,以确保“所有范围”确实包含所有范围。