要为桌面设备提供 SSO 和设备信任,需要在 VMware Identity Manager 中配置其他访问策略规则。

可以为 MacOS 和 Windows 10 创建将证书(云部署)和设备合规性作为身份验证方法的访问策略。

过程

  1. 在 VMware Identity Manager 控制台中,导航到身份和访问管理 (Identity & Access Management)策略 (Policies)页面。
  2. 单击添加策略 (Add Policy)
  3. 在向导的“定义”页中,输入以下信息。
    选项 描述
    策略名称 策略的名称。
    描述 策略的描述。
    应用于 选择 Okta

    这会将访问策略集分配给 Okta 应用程序源。Okta 应用程序的所有请求都会使用此策略规则集进行评估。
  4. 单击下一步 (Next)
  5. 在“配置”页中,单击添加策略规则 (Add Policy Rule)并为 Windows 10 配置策略规则。
    1. 并且用户访问内容来自 (and user is accessing content from)列表中选择 Windows 10 作为设备类型。
    2. 选择证书 (云部署) (Certificate (Cloud Deployment)) 作为第一因素身份验证方法。
    3. 选择设备合规性 (与 AirWatch) (Device Compliance (with AirWatch)) 作为第二因素身份验证方法。
    4. 单击保存 (Save)
  6. 单击添加策略规则 (Add Policy Rule)并为 MacOS 配置策略规则。
    1. 并且用户访问内容来自 (and user is accessing content from)列表中选择 MacOS 作为设备类型。
    2. 选择证书 (云部署) (Certificate (Cloud Deployment)) 作为第一因素身份验证方法。
    3. 选择设备合规性 (与 AirWatch) (Device Compliance (with AirWatch)) 作为第二因素身份验证方法。
    4. 单击保存 (Save)
  7. 由于此新策略会覆盖 Okta 应用程序的默认访问策略,因此,还要将 iOS、Android、Workspace ONE 应用程序或 Hub 应用程序以及 Web 浏览器的策略规则添加到新策略中,类似于之前添加到默认访问策略中的规则。
    1. 为 iOS 设备创建一个策略规则,并将移动 SSO (iOS) 设置为第一因素身份验证方法,将 Okta 身份验证设置为回退验证方法。 
      If a user's network range is: ALL RANGES
and the user is accessing content from: iOS
Then perform this action: Authenticate using
then the user may authenticate using: Mobile SSO (iOS)
If the preceding method fails or is not applicable, then: Okta Auth Method
    2. 为 Android 设备创建一个策略规则,并将移动 SSO (iOS) 设置为第一因素身份验证方法,将 Okta 身份验证设置为回退验证方法。 
      If a user's network range is: ALL RANGES
and the user is accessing content from: Android
Then perform this action: Authenticate using
then the user may authenticate using: Mobile SSO (Android)
If the preceding method fails or is not applicable, then: Okta Auth Method
    3. 为 Workspace ONE 应用程序和 Hub 应用程序创建一个策略规则。 
      If a user's network range is: ALL RANGES
and the user is accessing content from: Workspace ONE App or Hub App
Then perform this action: Authenticate using
then the user may authenticate using: Mobile SSO (for iOS)
If the preceding method fails or is not applicable, then: Mobile SSO (for Android)
If the preceding method fails or is not applicable, then: Okta Auth Method
    4. 为 Web 浏览器创建一个策略规则,并将 Okta 设置为身份验证方法。 
      If a user's network range is: ALL RANGES
and the user is accessing content from: Web Browser
Then perform this action: Authenticate using
then the user may authenticate using: Okta Auth Method
  8. 按照从上到下的顺序排列策略规则。
    1. Workspace ONE 应用程序或 Hub 应用程序
    2. Windows 10 或 Mac OS
    3. Windows 10 或 Mac OS
    4. iOS 或 Android
    5. iOS 或 Android
    6. Web 浏览器