可在 Okta 管理控制台中配置应用程序登录策略规则。

要配置对应用程序的高精确度的访问权限,请在创建一个或多个优先规则时,根据以下情况有选择地应用条件:

  • 用户及其所属的组
  • 他们是否联网,还是在定义的网络区域内
  • 在其设备上运行的客户端类型(仅限 Office 365 应用程序)
  • 其移动设备或桌面设备的平台
  • 其设备是否受信任

要按照白名单方法来创建登录策略规则,请执行以下操作:

  1. 创建一个或多个许可规则以支持允许访问应用程序的情景,然后为这些规则分配最高优先级。
  2. 创建“Deny catch-all”规则,该规则将应用于与您在步骤 1 中创建的许可情景不匹配的用户。为“Deny catchall”规则分配最低优先级,略高于 Okta 的默认规则。在此处所述的白名单方法中,将永远无法到达“默认”规则,因为其被“Deny catchall”规则有效地否定了。

如果禁用“设备信任”,请遵循以下准则:

  • 如果您还在“应用程序”>“应用程序”>“登录策略”页面上配置了允许受信任设备的应用程序登录策略,请不要在“安全”>“设备信任”页面上禁用“设备信任”设置。否则,您的“设备信任”配置将处于不一致状态。

    要为组织禁用“设备信任”,请先移除包含“设备信任”设置的任何应用程序登录策略,然后在“安全”>“设备信任”页面上禁用“设备信任”。

  • 如果您让 Okta 来为贵组织禁用“设备信任”解决方案(与在“安全”>“设备信任”页面上启用的“启用设备信任”设置不同),请确保先将应用程序登录策略规则中的“设备信任”设置更改为“任意”。如果您未进行此更改,并且之后让 Okta 为贵组织重新启用“设备信任”解决方案,则应用程序登录策略规则中的“设备信任”设置将立即生效,这可能并不符合您的期望。

有关创建登录策略规则的其他信息,请参阅https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm

前提条件

以应用程序、组织或超级管理员的身份登录 Okta 管理控制台,因为只有这些角色可以配置应用程序登录策略。

过程

  1. 在 Okta 管理控制台中,单击应用程序 (Applications)选项卡,然后单击要使用“设备信任”进行保护的 SAML 应用程序或启用了 WS-Fed 的应用程序。
  2. 单击登录 (Sign On)选项卡,向下滚动到登录策略 (Sign On Policy)部分,然后单击添加规则 (Add Rule)
  3. 使用示例白名单作为指南,配置一个或多个规则。
    注: 默认情况下,会预先选择“应用程序登录规则”对话框中的所有“客户端”选项。您无法在“设备信任”部分中选择 受信任 (Trusted)不受信任 (Not trusted)选项,除非在“客户端”部分中取消选择以下选项:
    • Exchange ActiveSync 或旧版身份验证客户端 (Exchange ActiveSync or Legacy Auth client)
    • 其他移动设备 (例如,BlackBerry) (Other mobile (e.g. BlackBerry))
    • 其他桌面 (例如 Linux) (Other desktop (e.g. Linux))

示例: 示例白名单

对于具有不受信任设备的用户,系统将指导其完成 Workspace ONE 注册,或将其重定向到在 Okta 中启用“设备信任”设置。 中配置的注册链接目标。

规则示例 1:Web 浏览器;现代身份验证;iOS 和/或 Android;受信任;允许访问 + MFA

规则示例 2:Web 浏览器;现代身份验证;除 iOS 和/或 Android 以外的所有平台;任何信任;允许访问 + MFA

规则示例 3:Web 浏览器;现代身份验证;iOS 和/或 Android;不受信任;拒绝访问

规则 4:默认登录规则 – 任何客户端,所有平台;任何信任;允许访问

注: 此白名单示例显示了用于管理对 Office 365 访问的“设备信任”规则。请注意,对于其他应用程序,没有 如果用户的客户端是其中任何一个 (If the user's client is any of these)部分。