可在 Okta 管理控制台中配置应用程序登录策略规则。
要配置对应用程序的高精确度的访问权限,请在创建一个或多个优先规则时,根据以下情况有选择地应用条件:
- 用户及其所属的组
- 他们是否联网,还是在定义的网络区域内
- 在其设备上运行的客户端类型(仅限 Office 365 应用程序)
- 其移动设备或桌面设备的平台
- 其设备是否受信任
要按照白名单方法来创建登录策略规则,请执行以下操作:
- 创建一个或多个许可规则以支持允许访问应用程序的情景,然后为这些规则分配最高优先级。
- 创建“Deny catch-all”规则,该规则将应用于与您在步骤 1 中创建的许可情景不匹配的用户。为“Deny catchall”规则分配最低优先级,略高于 Okta 的默认规则。在此处所述的白名单方法中,将永远无法到达“默认”规则,因为其被“Deny catchall”规则有效地否定了。
如果禁用“设备信任”,请遵循以下准则:
- 如果您还在“应用程序”>“应用程序”>“登录策略”页面上配置了允许受信任设备的应用程序登录策略,请不要在“安全”>“设备信任”页面上禁用“设备信任”设置。否则,您的“设备信任”配置将处于不一致状态。
要为组织禁用“设备信任”,请先移除包含“设备信任”设置的任何应用程序登录策略,然后在“安全”>“设备信任”页面上禁用“设备信任”。
- 如果您让 Okta 来为贵组织禁用“设备信任”解决方案(与在“安全”>“设备信任”页面上启用的“启用设备信任”设置不同),请确保先将应用程序登录策略规则中的“设备信任”设置更改为“任意”。如果您未进行此更改,并且之后让 Okta 为贵组织重新启用“设备信任”解决方案,则应用程序登录策略规则中的“设备信任”设置将立即生效,这可能并不符合您的期望。
有关创建登录策略规则的其他信息,请参阅https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm。
前提条件
以应用程序、组织或超级管理员的身份登录 Okta 管理控制台,因为只有这些角色可以配置应用程序登录策略。
过程
示例: 示例白名单
对于具有不受信任设备的用户,系统将指导其完成 Workspace ONE 注册,或将其重定向到在 Okta 中启用“设备信任”设置。 中配置的注册链接目标。
规则示例 1:Web 浏览器;现代身份验证;iOS 和/或 Android;受信任;允许访问 + MFA
规则示例 2:Web 浏览器;现代身份验证;除 iOS 和/或 Android 以外的所有平台;任何信任;允许访问 + MFA
规则示例 3:Web 浏览器;现代身份验证;iOS 和/或 Android;不受信任;拒绝访问
规则 4:默认登录规则 – 任何客户端,所有平台;任何信任;允许访问
注: 此白名单示例显示了用于管理对 Office 365 访问的“设备信任”规则。请注意,对于其他应用程序,没有
如果用户的客户端是其中任何一个 (If the user's client is any of these)部分。