Sie können die Authentifizierungsverkettung in einer Zugriffsrichtlinie so konfigurieren, dass Benutzer Anmeldeinformationen über mehr als eine Authentifizierungsmethode übergeben müssen, bevor sie sich anmelden können. Es werden zwei Authentifizierungsbedingungen in einer Regel konfiguriert, und der Benutzer muss auf beide Authentifizierungsanforderungen korrekt reagieren.

Wenn Sie eine Zugriffsregel konfigurieren, die mehrere Authentifizierungsmethoden für die Anmeldung erfordert, können Sie die Option konfigurieren, dass Benutzer ihre zweite Authentifizierungsmethode auswählen können. Diese Flexibilität ermöglicht es den Benutzern, sich mit einer alternativen Methode anzumelden, wenn sie nicht in der Lage sind, auf eine der Authentifizierungsmethoden zuzugreifen, die während des Vorgangs abgefragt werden.

Wenn Sie eine Authentifizierungsmethode eines externen Identitätsanbieters als Anmeldeoption auswählen, wird der Name der Authentifizierungsmethode, den Sie für die externe Identitätsanbieter-Instanz in der Workspace ONE Access-Konsole konfiguriert haben, auf der Anmeldeseite „Authentifizierung auswählen“ des Benutzers angezeigt. Die Beschreibung, die Sie für die Drittanbieter-Authentifizierungsmethode eingegeben haben, wird unter der Option „Authentifizierungsmethode“ angezeigt. Siehe Hinzufügen und Konfigurieren einer externen SAML-Identitätsanbieter-Instanz in Workspace ONE Access.

Ein Beispiel dafür, wie eine Authentifizierungsrichtlinie eingerichtet werden kann, um Benutzern eine Auswahl an Authentifizierungsmethoden zu geben, ist eine Richtlinie mit zwei Regeln.

  • Regel 1 ist für jeden Benutzer konfiguriert, der vom INTERNEN NETZWERK kommt, um sich mit Kennwort UND Verify (Intelligent Hub) ODER RADIUS ODER RSA zu authentifizieren.
  • Regel 2 ist für jeden Benutzer konfiguriert, der von einem EXTERNEN NETZWERK kommt, um sich mit Kennwort UND Zertifikat (Cloud-Bereitstellung) ODER Mobiles SSO (für iOS) ODER OIDC-Anmeldung ODER fp SAML-Anmeldung (Englisch) / fp SAML-Anmeldung (Spanisch) /... ODER Kennwort (mit Workspace ONE UEM) zu authentifizieren.
    Screenshot der Regel für die Authentifizierungsauswahl
Auf der Anmeldeseite werden die Anmeldemethoden aufgelistet, und der Benutzer wählt die Methode aus, die er verwenden möchte.
Anmeldebildschirm für die vom Benutzer ausgewählten Authentifizierung

Die Anmeldeerfahrung der Benutzer lautet wie folgt.

  1. Der Benutzer gibt seine Anmeldedaten für die erste angeforderte Authentifizierungsmethode ein, und die Seite Authentifizierung auswählen wird angezeigt, um eine zweite zu verwendende Authentifizierungsmethode auszuwählen.
  2. Der Benutzer wählt die Authentifizierungsmethode aus, die für das von ihm verwendete Gerät verfügbar ist.
  3. Nach Auswahl der Authentifizierungsmethode gibt der Benutzer entweder seine Anmeldedaten ein oder wird bei der zertifikatsbasierten Authentifizierung sofort authentifiziert. Wenn ein Benutzer die falsche Methode auswählt, kann er im Browser auf Zurück klicken, um zur Seite „Authentifizierung auswählen“ zurückzukehren. Für die zertifikatsbasierte Authentifizierung, bei der keine Anmeldedaten eingegeben werden, können Benutzer jedoch nicht auf Zurück klicken, um zur Seite „Authentifizierung auswählen“ zurückzukehren.

Wenn sich Benutzer mit einer Zugriffsrichtlinie anmelden, die mehrere Authentifizierungsmethoden bietet, müssen sie ihre bevorzugte Authentifizierungsoption wählen. Die ausgewählte Option wird nicht gespeichert.

Voraussetzungen

  • Die von Ihrer Organisation unterstützten Authentifizierungsmethoden werden in Workspace ONE Access konfiguriert und aktiviert.
  • Netzwerkbereiche definierter IP-Adressen wurden erstellt und den Identitätsanbietern zugewiesen.

Prozedur

  1. Fügen Sie in der Workspace ONE Access-Konsole auf der Seite Ressourcen > Richtlinien eine Richtlinie hinzu oder bearbeiten Sie eine vorhandene Richtlinie.
  2. Wählen Sie unter Gültig für die Anwendungen aus, für die diese Richtlinie gilt.
    Wenn Sie keine Anwendungen auswählen, wird diese Richtlinie angewendet, wenn sich Benutzer beim Workspace ONE Intelligent Hub-Portal anmelden.
  3. Klicken Sie auf Weiter, um die Seite Konfiguration zu öffnen.
  4. Klicken Sie auf Richtlinienregel hinzufügen.
    Option Beschreibung
    Ist der Netzwerkbereich eines Benutzers Wählen Sie den Netzwerkbereich aus.
    und der Benutzer auf Inhalt zugreift von Wählen Sie den Gerätetyp, den diese Regel verwaltet.
    und Benutzer gehört zu Gruppen Wählen Sie die Gruppe aus, für die diese Regel gilt.
    Dann diese Aktion ausführen Wählen Sie Authentifizieren verwendet... aus.
    kann sich der Benutzer anschließend authentifizieren mit

    Konfigurieren Sie die Reihenfolge der Authentifizierungsmethode. Wählen Sie die Authentifizierungsmethode, die zuerst angewendet werden soll.

    Damit Benutzer eine zweite Authentifizierungsmethode auswählen müssen, klicken Sie im Dropdown-Menü auf AUTHENTIFIZIERUNG HINZUFÜGEN, wählen Sie eine Authentifizierungsmethode aus und klicken Sie auf HINZUFÜGEN.

    Um Benutzern eine Auswahl an Authentifizierungsmethoden zu geben, wählen Sie in der Zeile ODER eine andere Authentifizierungsmethode aus. Die Methode wird als ODER-Option hinzugefügt, um Benutzern die Möglichkeit zu geben, eine Authentifizierungsmethode auszuwählen. Sie können mehrere Authentifizierungsoptionen hinzufügen.
    Wenn die vorherige Methode fehlschlägt oder nicht zutrifft, dann (Optional) Konfigurieren Sie Fallback-Authentifizierungsmethoden.
    Erneute Authentifizierung nach

    Wählen Sie die Dauer der Sitzung aus, nach der sich die Benutzer erneut authentifizieren müssen.

  5. (Optional) Erstellen Sie unter Erweiterte Eigenschaften eine benutzerdefinierte Meldung über einen verweigerten Zugriff, die beim Fehlschlagen der Benutzerauthentifizierung angezeigt wird. Es stehen Ihnen dabei bis zu 4000 Zeichen zur Verfügung. Das entspricht etwa 650 Wörtern. Wenn Sie Benutzer auf eine andere Seite weiterleiten möchten, geben Sie im Feld Benutzerdefinierte Fehlermeldung zu Link-URL die URL-Link-Adresse ein. Geben Sie im Textfeld Benutzerdefinierter Fehler-Link den Text ein, um den benutzerdefinierten Fehler-Linkt zu beschreiben. Dieser Text stellt den Link dar. Wird dieses Feld leer gelassen, wird das Wort „Fortfahren“ als Link angezeigt.
  6. Klicken Sie auf Weiter und anschließend auf Speichern.

Ergebnisse