Hay que crear dos reglas de directiva para FIDO2 en la directiva de acceso predeterminada del servicio de Workspace ONE Access: una regla de registro y una regla de autenticación.

Requisitos previos

La autenticación FIDO2 está habilitada y configurada en el servicio de Workspace ONE Access. Consulte Cómo configurar la autenticación sin contraseña FIDO2 en Workspace ONE Access (solo versión en la nube).

Procedimiento

  1. En la página Recursos > Directivas de la consola de Workspace ONE Access, seleccione EDITAR DIRECTIVA PREDETERMINADA.
  2. Haga clic en Siguiente para abrir la página Configuración.
  3. Para crear la regla de registro, haga clic en Agregar regla de directiva.
    Opción Descripción
    Si el rango de redes de un usuario es Seleccione el rango de redes.
    Asegúrese de que los rangos de redes que seleccione cubran todas las direcciones IP de los usuarios finales que se utilizan para el registro de FIDO2.
    Nota: Si selecciona TODOS LOS RANGOS, valide que las direcciones IP definidas incorporen todos los rangos de IP de cliente de los usuarios finales posibles.
    y el usuario accede al contenido desde Seleccione el tipo de dispositivo Todos los tipos de dispositivos.
    y el usuario pertenece a grupos Si esta regla de acceso se va a aplicar a grupos específicos, busque los grupos en el cuadro de búsqueda.

    Si no se seleccionó ningún grupo, la regla de directiva de acceso se aplica a todos los usuarios.

    y el usuario está registrando un autenticador de FIDO2 Seleccione en esta opción.
    Realice esta acción Seleccione Autenticar mediante....
    entonces el usuario puede autenticarse con Configure el método de autenticación que se muestra a los usuarios antes de permitirles registrar un autenticador en su cuenta.
    Si se produce un error con alguno de los métodos anteriores o no se puede aplicar, entonces (Opcional) Configure los métodos de autenticación de reserva.
    Nota: Si va a registrar claves FIDO2 desde la consola de Workspace ONE Access, no se requiere la regla de directiva de registro.
  4. Haga clic en GUARDAR. Se abrirá la página Configuración.
  5. Para crear la regla de autenticación, haga clic en Agregar regla de directiva.
    Opción Descripción
    Si el rango de redes de un usuario es Seleccione el rango de redes.
    y el usuario accede al contenido desde Seleccione el tipo de dispositivo Todos los tipos de dispositivos.
    y el usuario pertenece a grupos Si esta regla de acceso se va a aplicar a grupos específicos, busque los grupos en el cuadro de búsqueda.

    Si no se seleccionó ningún grupo, la regla de directiva de acceso se aplica a todos los usuarios.

    y el usuario está registrando un autenticador de FIDO2 Cambie a NO.
    Realice esta acción Seleccione Autenticar mediante.
    entonces el usuario puede autenticarse con Seleccione FIDO2.
    Si se produce un error con alguno de los métodos anteriores o no se puede aplicar, entonces (Opcional)
  6. Haga clic en GUARDAR.
  7. En la página Configuración, mueva la regla de directiva de registro de FIDO por encima de la regla de directiva de autenticación de FIDO2 para permitir que los usuarios se registren.
  8. Haga clic en SIGUIENTE y, a continuación, haga clic en GUARDAR.
    Solucionar el problema de acceso denegado al iniciar sesión

    Cuando los usuarios inician sesión y reciben un mensaje de Acceso denegado, es posible que la directiva de acceso no se haya configurado correctamente.

    • En la consola de Workspace ONE Access, abra la página Supervisar > Informes y seleccione el informe Auditar eventos.
    • Cree el informe. Seleccione el nombre de usuario y para Tipo, seleccione LOGIN_ERROR.
    • Seleccione Ver detalles.

      En el registro de eventos, si las entradas del registro muestran un mensaje parecido a "requestParams" : "[fido2Enrollment]", "message": "No se encontró ninguna directiva coincidente.", asegúrese de que la regla de directiva de registro de usuario final de FIDO2 incorpore todos los rangos de IP necesarios. Revise la configuración de TODOS LOS RANGOS para asegurarse de que TODOS LOS RANGOS sean realmente todos los rangos.