Puede configurar un encadenamiento de autenticación en reglas de directiva de acceso para solicitar a los usuarios que pasen credenciales a través de más de un método de autenticación antes de poder iniciar sesión. Se configuran dos condiciones de autenticación en una regla y el usuario debe responder correctamente a ambas solicitudes de autenticación.

Cuando configure una regla de directiva de acceso que requiera varios métodos de autenticación para iniciar sesión, puede configurar la opción para permitir que los usuarios seleccionen su segundo método de autenticación. Esta flexibilidad permite a los usuarios utilizar un método alternativo para iniciar sesión, cuando es posible que no puedan acceder a uno de los métodos de autenticación que se solicitaron durante el proceso.

Al seleccionar un método de autenticación de proveedor de identidad externo como opción de inicio de sesión, el nombre del método de autenticación que configuró para la instancia del proveedor de identidad de terceros en la consola de Workspace ONE Access se muestra en la página de inicio de sesión Seleccionar autenticación del usuario. La descripción que escribió para el método de autenticación de terceros se muestra en la opción del método de autenticación. Consulte Agregar y configurar una instancia de proveedor de identidades externo de SAML en Workspace ONE Access.

Un ejemplo de cómo se puede configurar una directiva de autenticación para ofrecer a los usuarios una opción de métodos de autenticación es una directiva con dos reglas.

  • La regla 1 está configurada para que cualquier usuario procedente de la red interna (INTERNAL NETWORK) se autentique mediante Contraseña Y Verify (Intelligent Hub) O RADIUS O RSA.
  • La regla 2 está configurada para que cualquier usuario proveniente de una red externa (EXTERNAL NETWORK) se autentique mediante Contraseña Y Certificado (implementación en la nube) O SSO móvil (para iOS) O Inicio de sesión de OIDC O Inicio de sesión fp SAML (inglés) / Inicio de sesión fp SAML (español) /... O Contraseña (con Workspace ONE UEM).
    Captura de pantalla de la regla de opciones de autenticación
La página de inicio de sesión muestra los métodos de inicio de sesión y el usuario selecciona el método que desea utilizar.
Pantalla de inicio de sesión Seleccionar autenticación del usuario

La experiencia de inicio de sesión de los usuarios es la siguiente.

  1. El usuario introduce correctamente su credencial para el primer método de autenticación solicitado y se muestra la página Seleccionar autenticación para seleccionar un segundo método de autenticación que se utilizará.
  2. El usuario selecciona el método de autenticación que está disponible para el dispositivo que está utilizando.
  3. Después de seleccionar el método de autenticación, el usuario introduce sus credenciales o, para la autenticación basada en certificados, se autentica de forma instantánea. Si un usuario elige el método incorrecto, puede hacer clic en Atrás en el navegador para volver a la página Seleccionar autenticación. Sin embargo, para una autenticación basada en certificados que no solicita una credencial, los usuarios no pueden hacer clic en Atrás para volver a la página Seleccionar autenticación.

Cada vez que los usuarios inician sesión con una directiva de acceso que ofrece varios métodos de autenticación, deben elegir su opción de autenticación preferida. La opción seleccionada no se guarda.

Requisitos previos

  • Los métodos de autenticación compatibles con la organización se configuran y habilitan en Workspace ONE Access.
  • Rangos de redes de direcciones IP definidas creados y asignados a los proveedores de identidades.

Procedimiento

  1. En la página de la consola de Workspace ONE Access Recursos > Directivas, agregue una directiva o edite una directiva existente.
  2. En Se aplica a, seleccione las aplicaciones a las que se aplica esta directiva.
    Si no selecciona ninguna aplicación, esta directiva se aplica cuando los usuarios inician sesión en el portal de Workspace ONE Intelligent Hub.
  3. Haga clic en Siguiente para abrir la página Configuración.
  4. Haga clic en Agregar regla de directiva.
    Opción Descripción
    Si el rango de redes de un usuario es Seleccione el rango de redes.
    y el usuario accede al contenido desde Seleccione el tipo de dispositivo que esta regla administra.
    y el usuario pertenece a grupos Seleccione el grupo al que se aplica esta regla.
    Realice esta acción Seleccione Autenticar mediante....
    entonces el usuario puede autenticarse con

    Configure el orden de los métodos de autenticación. Seleccione el método de autenticación que se aplicará en primer lugar.

    Para solicitar a los usuarios que seleccionen un segundo método de autenticación, haga clic en AGREGAR AUTENTICACIÓN y, en el menú desplegable, seleccione un método de autenticación y haga clic en AGREGAR.

    Para ofrecer a los usuarios una opción de métodos de autenticación, en la línea O seleccione otro método de autenticación. El método se agrega como una opción O para ofrecer a los usuarios la opción de seleccionar un método de autenticación. Puede agregar varias opciones de autenticación.

    Si se produce un error con alguno de los métodos anteriores o no se puede aplicar, entonces (Opcional) Configure los métodos de autenticación de reserva.
    Vuelva a autenticarse después de

    Seleccione la duración de la sesión después de la cual los usuarios deben volver a autenticarse.

  5. (Opcional) En Propiedades avanzadas, cree un mensaje de error personalizado de acceso denegado que se muestre cuando se produzca un error en la autenticación del usuario. Puede utilizar hasta 4000 caracteres, que son aproximadamente 650 palabras. Si desea enviar a los usuarios a otra página, introduzca la dirección del vínculo en el cuadro de texto URL del vínculo de error personalizado. En el cuadro de texto Enlace del error personalizado, introduzca el texto para describir el enlace del error personalizado. Este texto es el vínculo. Si deja este cuadro de texto en blanco, se mostrará la palabra Continuar como vínculo.
  6. Haga clic en Siguiente y, a continuación, haga clic en Guardar.

Resultados