Sie erstellen zwei Richtlinienregeln für FIDO2 in der Standardzugriffsrichtlinie im Workspace ONE Access-Dienst, eine Registrierungsregel und eine Authentifizierungsregel.

Voraussetzungen

Im Workspace ONE Access-Dienst aktivierte und konfigurierte FIDO2-Authentifizierung. Weitere Informationen hierzu finden Sie unter Konfigurieren der FIDO2-Authentifizierung ohne Kennwort in Workspace ONE Access (nur Cloud)

Prozedur

  1. Wählen Sie in der Workspace ONE Access-Konsole auf der Seite Ressourcen > Richtlinien die Option STANDARDRICHTLINIE BEARBEITEN aus.
  2. Klicken Sie auf Weiter, um die Seite „Konfiguration“ zu öffnen.
  3. Um die Registrierungsregel zu erstellen, klicken Sie auf Richtlinienregel hinzufügen.
    Option Beschreibung
    Ist der Netzwerkbereich eines Benutzers Wählen Sie den Netzwerkbereich aus.
    Stellen Sie sicher, dass die ausgewählten Netzwerkbereiche alle Endbenutzer-IP-Adressen abdecken, die für die FIDO2-Registrierung verwendet werden.
    Hinweis: Wenn Sie ALLE BEREICHE auswählen, stellen Sie sicher, dass die definierten IP-Adressen alle möglichen IP-Bereiche der Endbenutzerclients umfassen.
    und der Benutzer auf Inhalt zugreift aus Wählen Sie den Gerätetyp Alle Gerätetypen aus.
    und Benutzer gehört zu Gruppen Wenn diese Zugriffsregel für bestimmte Gruppen gelten soll, suchen Sie die Gruppen über das Suchfeld.

    Wenn keine Gruppe ausgewählt wird, gilt die Zugriffsrichtlinienregel für alle Benutzer.

    Zudem wird der Benutzer als FIDO2-Authentifizierer registriert. Legen Sie für diese Einstellung Ja fest.
    Dann diese Aktion ausführen Wählen Sie Authentifizieren verwendet... aus.
    kann sich der Benutzer anschließend authentifizieren mit Konfigurieren Sie die Authentifizierungsmethode, die Benutzern zur Verfügung steht, bevor Sie ihnen erlauben, einen Authentifizierer für ihr Konto zu registrieren.
    Wenn die vorherige Methode fehlschlägt oder nicht zutrifft, dann (Optional) Konfigurieren Sie Fallback-Authentifizierungsmethoden.
    Hinweis: Wenn Sie FIDO2-Schlüssel über die Workspace ONE Access-Konsole registrieren, ist die Registrierungsrichtlinienregel nicht erforderlich.
  4. Klicken Sie auf SPEICHERN. Die Seite „Konfiguration“ wird angezeigt.
  5. Um die Authentifizierungsregel zu erstellen, klicken Sie auf Richtlinienregel hinzufügen.
    Option Beschreibung
    Ist der Netzwerkbereich eines Benutzers Wählen Sie den Netzwerkbereich aus.
    und der Benutzer auf Inhalt zugreift aus Wählen Sie den Gerätetyp Alle Gerätetypen aus.
    und Benutzer gehört zu Gruppen Wenn diese Zugriffsregel für bestimmte Gruppen gelten soll, suchen Sie die Gruppen über das Suchfeld.

    Wenn keine Gruppe ausgewählt wird, gilt die Zugriffsrichtlinienregel für alle Benutzer.

    Zudem wird der Benutzer als FIDO2-Authentifizierer registriert. Schalten Sie auf NEIN um.
    Dann diese Aktion ausführen Wählen Sie Authentifizieren mit aus.
    kann sich der Benutzer anschließend authentifizieren mit Wählen Sie FIDO2 aus.
    Wenn die vorherige Methode fehlschlägt oder nicht zutrifft, dann (Optional)
  6. Klicken Sie auf SPEICHERN.
  7. Verschieben Sie auf der Seite „Konfiguration“ die Regel für die FIDO-Registrierungsrichtlinie über die Regel für die FIDO2-Authentifizierungsrichtlinie, um Benutzern die Registrierung zu ermöglichen.
  8. Klicken Sie auf WEITER und anschließend auf SPEICHERN.
    Fehlerbehebung des Problems „Zugriff verweigert“ bei der Anmeldung

    Wenn sich Benutzer anmelden und eine Zugriff verweigert-Meldung erhalten, ist die Zugriffsrichtlinie möglicherweise nicht ordnungsgemäß konfiguriert.

    • Öffnen Sie in der Workspace ONE Access-Konsole die Seite Überwachen > Berichte und wählen Sie den Bericht Überwachungsereignisse aus.
    • Erstellen Sie den Bericht. Wählen Sie den Benutzernamen aus und wählen Sie für Typ die Option LOGIN_ERROR aus.
    • Wählen Sie Details anzeigen.

      Wenn im Ereignisprotokoll die Protokolleinträge "requestParams" : "[fido2Enrollment]", "message" : "No matching policy found." anzeigen, stellen Sie sicher, dass die Regel für die FIDO2-Endbenutzerregistrierung alle erforderlichen IP-Bereiche enthält. Überprüfen Sie die Einstellungen ALLE BEREICHE, um sicherzustellen, dass ALLE BEREICHE tatsächlich alle Bereiche sind.