您可以在访问策略规则中配置身份验证链,以要求用户通过多种身份验证方法传递凭据后才能登录。如果在一个规则中配置了两个身份验证条件,用户必须正确响应每个身份验证请求。

在配置需要通过多种身份验证方法才能登录的访问策略规则时,您可以配置相应的选项以允许用户选择其第二种身份验证方法。这种灵活性使用户在登录过程中可能无法访问提示的身份验证方法时,可以使用备用方法登录。

选择第三方身份提供程序身份验证方法作为登录选项时,您在 Workspace ONE Access 控制台中为第三方身份提供程序实例配置的身份验证方法名称将显示在用户的 选择身份验证 登录页面上。您为第三方身份验证方法编写的描述将显示在身份验证方法选项下。请参阅在 Workspace ONE Access 中添加和配置 SAML 第三方身份提供程序实例

如何设置身份验证策略以便为用户提供身份验证方法选择的示例是采用包含两个规则的策略。

  • 对于来自内部网络的任何用户,将规则 1 配置为使用“密码” Verify (Intelligent Hub) RADIUS RSA 进行身份验证。
  • 对于来自外部网络的任何用户,将规则 2 配置为使用“密码”证书(云部署)移动 SSO(适用于 iOS) OIDC 登录 fp SAML 登录(英语)/fp SAML 登陆(西班牙语)/... 密码(使用 Workspace ONE UEM)进行身份验证。
    身份验证选择规则屏幕截图
登录页面会列出登录方法,用户可以选择他们要使用的方法。
用户选择身份验证登录屏幕

用户的登录体验如下。

  1. 用户成功为请求的第一种身份验证方法输入凭据,然后显示选择身份验证页面,供用户选择要使用的第二种身份验证方法。
  2. 用户选择适用于其所用设备的身份验证方法。
  3. 选择身份验证方法后,用户输入其凭据,或者对于基于证书的身份验证,将立即进行身份验证。如果用户选择的方法不正确,他们可以单击浏览器中的返回,以返回到“选择身份验证”页面。但是,对于基于证书的身份验证,不会提示输入凭据,用户无法通过单击返回来返回到“选择身份验证”页面。

每当用户使用提供多种身份验证方法的访问策略登录时,他们需要选择首选的身份验证选项。将不保存其选择的选项。

前提条件

  • 将在 Workspace ONE Access 中配置并启用您的组织支持的身份验证方法。
  • 已创建所定义的 IP 地址的网络范围,并已分配给身份提供程序。

过程

  1. Workspace ONE Access 控制台的资源 > 策略页面中,添加一个策略或编辑现有的策略。
  2. 适用于中,选择该策略适用的应用程序。
    如果未选择任何应用程序,则该策略在用户登录到 Workspace ONE Intelligent Hub 门户时适用。
  3. 单击下一步以打开配置页面。
  4. 单击添加策略规则
    选项 描述
    如果用户的网络范围为 选择网络范围。
    并且用户访问内容来自 选择此规则管理的设备类型。
    并且用户属于组 选择该规则适用的组。
    然后执行此操作 选择使用以下方法进行身份验证...
    则用户可以使用以下方法进行身份验证

    配置身份验证方法顺序。选择首先应用的身份验证方法。

    如果要求用户选择第二种身份验证方法,请单击添加身份验证,在下拉菜单中选择一种身份验证方法,然后单击添加

    要让用户能够选择身份验证方法,请在行中选择其他身份验证方法。所选方法将添加为选项,以为用户提供选择这种身份验证方法的选项。您可以添加多个身份验证选项。
    如果之前的方法失败或不适用,则 (可选)配置回退身份验证方法。
    在以下时间后重新进行身份验证

    选择会话时长,用户在该时间之后必须重新进行身份验证。

  5. (可选)在高级属性中,创建自定义的访问被拒绝错误消息,当用户身份验证失败时会显示该消息。您最多可以使用 4000 个字符,约相当于 650 个单词。如果您希望将用户转到其他页面,请在自定义错误链接 URL 文本框中输入相应的 URL 链接地址。在自定义错误链接文本框中,输入用来描述自定义错误链接的文本。此文本为链接。如果您将此文本框留空,则会显示“继续”字样作为链接。
  6. 单击下一步,然后单击保存

结果