Konfigurieren Sie die Richtlinienregeln für die App-Anmeldung in der Okta-Verwaltungskonsole.

Um einen detaillierteren Zugriff auf die App zu konfigurieren, wenden Sie die Bedingungen selektiv an, wenn Sie eine oder mehrere priorisierte Regeln auf folgender Basis erstellen:

  • Wer sind die Benutzer und zu welchen Gruppen gehören sie?
  • Befinden sie sich innerhalb oder außerhalb des Netzwerks oder innerhalb einer definierten Netzwerkzone?
  • Der Typ des Clients, der auf ihrem Gerät (nur Office 365-Apps) läuft
  • Die Plattform ihres mobilen oder Desktop-Geräts
  • Werden ihre Geräte als vertrauenswürdig eingestuft?

So folgen Sie einem Whitelist-Ansatz zum Erstellen von Richtlinienregeln für die App-Anmeldung:

  1. Erstellen Sie eine oder mehrere großzügige Regeln, um die Szenarien zu unterstützen, die den Zugriff auf die App ermöglichen, und weisen Sie diesen Regeln dann die höchste Priorität zu.
  2. Erstellen Sie eine Deny-CatchAll-Regel, die auf Benutzer angewendet wird, die nicht mit den in Schritt 1 erstellten großzügigen Szenarien übereinstimmen. Weisen Sie der Regel „Deny-CatchAll“ die niedrigste Priorität zu, die nur über der Standardregel von Okta liegt. In dem hier beschriebenen Whitelist-Ansatz wird die Standardregel nie erreicht, da sie durch die Deny-CatchAll-Regel effektiv negiert wird.

Wenn Sie das Gerätevertrauen deaktivieren, halten Sie sich an folgende Vorgaben:

  • Deaktivieren Sie die Einstellung „Gerätevertrauen“ auf der Seite „Sicherheit > Gerätevertrauen“ nicht, wenn Sie auch eine Richtlinie für die App-Anmeldung auf der Seite „Anwendungen > App > Anmelden“ konfiguriert haben, die vertrauenswürdige Geräte zulässt. Andernfalls befindet sich die Konfiguration des Gerätevertrauens in einem inkonsistenten Zustand.

    Um das Gerätevertrauen für Ihre Organisation zu deaktivieren, entfernen Sie zunächst alle App-Anmelderichtlinien, die Gerätevertrauen enthalten, und deaktivieren Sie dann das Gerätevertrauen auf der Seite „Sicherheit > Gerätevertrauen“.

  • Wenn Sie bei Okta anfordern, die Gerätevertrauenslösung für Ihre Organisation zu deaktivieren (die von der Einstellung „Gerätevertrauen aktivieren“ getrennt ist, die Sie auf der Seite „Sicherheit > Gerätevertrauen“ aktiviert haben), stellen Sie sicher, dass Sie zuerst die Einstellung des Gerätevertrauens in den Richtlinienregeln für die App-Anmeldung auf „Beliebig“ ändern. Wenn Sie diese Änderung nicht vornehmen und später Okta die Gerätevertrauenslösung für Ihre Organisation erneut aktiviert, wird die Einstellung für das Gerätevertrauen in den Richtlinienregeln für die App-Anmeldung sofort wirksam, was Sie möglicherweise nicht erwartet haben.

Weitere Informationen zum Erstellen von Richtlinienregeln für die Anmeldung finden Sie unter https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm.

Voraussetzungen

Melden Sie sich bei der Okta-Verwaltungskonsole als App-, Org- oder Super-Admin an, da nur diese Rollen die Richtlinien für die App-Anmeldung konfigurieren können.

Prozedur

  1. Klicken Sie in der Okta-Verwaltungskonsole auf die Registerkarte Anwendungen (Applications) und anschließend auf die SAML- oder WS-Fed-fähige App, die Sie mit dem Gerätevertrauen schützen möchten.
  2. Klicken Sie auf die Registerkarte Anmelden (Sign On). Scrollen Sie nach unten zum Abschnitt Richtlinie für die Anmeldung (Sign On Policy) und klicken Sie auf Regel hinzufügen (Add Rule).
  3. Konfigurieren Sie eine oder mehrere Regeln mit der Beispiel-Whitelist als Leitfaden.
    Hinweis: Standardmäßig sind alle Clientoptionen im Dialogfeld der Regeln für die App-Anmeldung vorgewählt. Sie können die Optionen Vertrauenswürdig (Trusted) und Nicht vertrauenswürdig (Not trusted) im Abschnitt „Gerätevertrauen“ auswählen, es sei denn, Sie deaktivieren die folgenden Optionen im Abschnitt „Client“:
    • Exchange ActiveSync- oder Legacy-Auth-Client (Exchange ActiveSync or Legacy Auth client)
    • Anderes Mobiltelefon (z. B. BlackBerry) (Other mobile (e.g. BlackBerry))
    • Anderer Desktop (z. B. Linux) (Other desktop (e.g. Linux))

Beispiel: Beispiel-Whitelist

Benutzer mit nicht vertrauenswürdigen Geräten werden durch die Workspace ONE-Registrierung geführt oder an das Ziel des in Aktivieren der Einstellungen für Gerätevertrauen in Okta konfigurierten Registrierungslinks umgeleitet.

Beispielregel 1: Webbrowser; Moderne Authentifizierung; iOS und/oder Android; Vertrauenswürdig; Zugriff erlauben + MFA

Beispielregel 2: Webbrowser; Moderne Authentifizierung; Alle Plattformen außer iOS und/oder Android; Jede Vertrauensstellung; Zugriff zulassen + MFA

Beispielregel 3: Webbrowser; Moderne Authentifizierung; iOS und/oder Android; Nicht vertrauenswürdig; Zugriff verweigern

Regel 4: Standard-Anmelderegel – Jeder Client, Alle Plattformen; Jedes Vertrauen; Zugriff erlauben

Hinweis: Dieses Whitelist-Beispiel zeigt Gerätevertrauensregeln für die Verwaltung des Zugriffs auf Office 365. Bei anderen Apps ist zu beachten, dass der Abschnitt Wenn der Client des Benutzers einer von diesen ist (If the user's client is any of these), nicht angezeigt wird.