Konfigurieren Sie die Richtlinienregeln für die App-Anmeldung in der Okta-Verwaltungskonsole.

Um einen detaillierteren Zugriff auf die App zu konfigurieren, wenden Sie die Bedingungen selektiv an, wenn Sie eine oder mehrere priorisierte Regeln auf folgender Basis erstellen:

  • Wer sind die Benutzer und zu welchen Gruppen gehören sie?
  • Befinden sie sich innerhalb oder außerhalb des Netzwerks oder innerhalb einer definierten Netzwerkzone?
  • Der Typ des Clients, der auf ihrem Gerät (nur Office 365-Apps) läuft
  • Die Plattform ihres mobilen oder Desktop-Geräts
  • Werden ihre Geräte als vertrauenswürdig eingestuft?

So folgen Sie einem Positivlisten-Ansatz zum Erstellen von Richtlinienregeln für die Anmeldung:

  1. Erstellen Sie eine oder mehrere großzügige Regeln, um die Szenarien zu unterstützen, die den Zugriff auf die App ermöglichen, und weisen Sie diesen Regeln dann die höchste Priorität zu.
  2. Erstellen Sie eine Deny-CatchAll-Regel, die auf Benutzer angewendet wird, die nicht mit den in Schritt 1 erstellten großzügigen Szenarien übereinstimmen. Weisen Sie der Regel „Deny-CatchAll“ die niedrigste Priorität zu, die nur über der Standardregel von Okta liegt. In dem hier beschriebenen Positivlisten-Ansatz wird die Standardregel nie erreicht, da sie durch die Deny-CatchAll-Regel effektiv negiert wird.

Wenn Sie die Gerätevertrauensstellung deaktivieren, halten Sie sich an folgende Vorgaben:

  • Deaktivieren Sie die Einstellung „Gerätevertrauen“ auf der Seite „Sicherheit > Gerätevertrauen“ nicht, wenn Sie auch eine Richtlinie für die App-Anmeldung auf der Seite „Anwendungen > App > Anmelderichtlinien“ konfiguriert haben, die vertrauenswürdige Geräte zulässt. Andernfalls befindet sich die Konfiguration des Gerätevertrauens in einem inkonsistenten Zustand.

    Um die Gerätevertrauensstellung für Ihre Organisation zu deaktivieren, entfernen Sie zunächst alle App-Anmelderichtlinien, die eine Gerätevertrauensstellung enthalten, und deaktivieren Sie dann die Gerätevertrauensstellung auf der Seite „Sicherheit > Gerätevertrauen“.

  • Wenn Sie bei Okta anfordern, die Gerätevertrauenslösung für Ihre Organisation zu deaktivieren (die von der Einstellung „Gerätevertrauen aktivieren“ getrennt ist, die Sie auf der Seite „Sicherheit > Gerätevertrauen“ aktiviert haben), stellen Sie sicher, dass Sie zuerst die Einstellung der Gerätevertrauenssstellung in den Richtlinienregeln für die App-Anmeldung auf „Beliebig“ ändern. Wenn Sie diese Änderung nicht vornehmen und später Okta die Gerätevertrauenslösung für Ihre Organisation erneut aktiviert, wird die Einstellung für das Gerätevertrauen in den Richtlinienregeln für die App-Anmeldung sofort wirksam, was Sie möglicherweise nicht erwartet haben.

Weitere Informationen zum Erstellen von Richtlinienregeln für die Anmeldung finden Sie unter https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm.

Voraussetzungen

Melden Sie sich bei der Okta-Verwaltungskonsole als App-, Org- oder Super-Admin an, da nur diese Rollen die Richtlinien für die App-Anmeldung konfigurieren können.

Prozedur

  1. Klicken Sie in der Okta-Verwaltungskonsole auf die Registerkarte Anwendungen und anschließend auf die SAML- oder WS-Fed-fähige App, die Sie mit dem Gerätevertrauen schützen möchten.
  2. Klicken Sie auf die Registerkarte Anmelden. Scrollen Sie nach unten zum Abschnitt Richtlinie für die Anmeldung und klicken Sie auf Regel hinzufügen.
  3. Konfigurieren Sie eine oder mehrere Regeln mit der Beispiel-Positivliste als Leitfaden.
    Hinweis: Standardmäßig sind alle Clientoptionen im Dialogfeld der Regeln für die App-Anmeldung vorgewählt. Sie können die Optionen Vertrauenswürdig und Nicht vertrauenswürdig im Abschnitt „Gerätevertrauen“ auswählen, es sei denn, Sie deaktivieren die folgenden Optionen im Abschnitt „Client“:
    • Exchange ActiveSync- oder Legacy-Auth-Client
    • Anderes Mobiltelefon (z. B. BlackBerry)
    • Anderer Desktop (z. B. Linux)

Beispiel: Beispiel-Positivliste

Benutzer mit nicht vertrauenswürdigen Geräten werden durch die Workspace ONE-Registrierung geführt oder an das Ziel des in Aktivieren der Einstellungen für Gerätevertrauen in Okta konfigurierten Registrierungslinks umgeleitet.

Beispielregel 1: Webbrowser; Moderne Authentifizierung; iOS und/oder Android; Vertrauenswürdig; Zugriff erlauben + MFA

Beispielregel 2: Webbrowser; Moderne Authentifizierung; Alle Plattformen außer iOS und/oder Android; Jede Vertrauensstellung; Zugriff zulassen + MFA

Beispielregel 3: Webbrowser; Moderne Authentifizierung; iOS und/oder Android; Nicht vertrauenswürdig; Zugriff verweigern

Regel 4: Standard-Anmelderegel – Jeder Client, Alle Plattformen; Jedes Vertrauen; Zugriff erlauben

Hinweis: Dieses Positivlisten-Beispiel zeigt Gerätevertrauensregeln für die Verwaltung des Zugriffs auf Office 365. Bei anderen Apps ist zu beachten, dass der Abschnitt Wenn der Client des Benutzers einer von diesen ist, nicht angezeigt wird.