Dans le service Workspace ONE Access, vous pouvez créer une stratégie d'accès avec des règles qui permettent aux utilisateurs de passer à la règle suivante en cas d'échec de l'authentification sur la règle actuelle. Normalement, l'exécution de la stratégie d'accès s'arrête lors de la mise en œuvre des conditions de la première règle correspondante.

Cette option d'avancement à la règle de stratégie permet à l'évaluation de la règle de passer à la règle correspondante suivante de la stratégie en cas d'échec de l'authentification sur la règle actuelle. Lorsque vous activez l'avancement à l'option de règle suivante, vous pouvez configurer chacune des règles progressives avec des plages réseau, le type de terminal et les conditions d'appartenance au groupe pour différents ensembles d'utilisateurs.

Par exemple, si vous souhaitez autoriser les employés permanents à utiliser le certificat (déploiement de Cloud) comme méthode d'authentification et les contractuels à utiliser le mot de passe comme méthode d'authentification, vous pouvez activer l'option d'avancement à la règle En cas d'échec de l'authentification, passez à la règle suivante dans la stratégie d'accès par défaut. Créez une règle basée sur un groupe qui utilise le certificat (déploiement de Cloud) comme méthode d'authentification pour les employés permanents et une autre règle basée sur un groupe avec mot de passe comme méthode d'authentification pour les contractuels.

Voici un exemple de configuration de stratégie d'accès.

Configuration de la règle 1 :
  • La plage réseau est TOUS LES RÉSEAUX.
  • Les utilisateurs peuvent accéder au contenu depuis Tous
  • Les utilisateurs appartiennent au groupe Tous les utilisateurs.
  • S'authentifier à l'aide de Certificat (déploiement de Cloud)
  • L'option En cas d'échec de l'authentification, passez à la règle suivante est activée

Lorsqu'un utilisateur tente de se connecter, la première règle lui est présentée. Les utilisateurs qui utilisent Certificat (déploiement de Cloud) sont authentifiés. La deuxième règle est présentée aux utilisateurs qui n'utilisent pas Certificat (déploiement de Cloud).

Configuration de la règle 2 :
  • La plage réseau est TOUS LES RÉSEAUX.
  • Les utilisateurs peuvent accéder au contenu depuis Tous
  • Les utilisateurs appartiennent au groupe Contractuels
  • S'authentifier à l'aide de Mot de passe (déploiement de Cloud)
  • L'option En cas d'échec de l'authentification, passez à la règle suivante est désactivée

Lorsque la seconde règle est présentée aux contractuels, ceux-ci sont invités à entrer leur mot de passe. Dans ce cas, ils sont authentifiés. Comme l'option En cas d'échec de l'authentification, passez à la règle suivante est désactivée, aucune autre règle n'est présentée si l'accès est refusé à l'utilisateur.

Pour chaque règle de stratégie que vous créez, vous pouvez créer un message d'erreur d'accès refusé personnalisé qui s'affiche lorsque des utilisateurs tentent de se connecter mais échouent, car leurs informations d'identification ne sont pas valides. Si vous configurez un message d'erreur personnalisé lorsque l'option En cas d'échec de l'authentification, passez à la règle suivante est activée, le message d'erreur personnalisé et les liens configurés dans la première règle sont exécutés pour les règles suivantes, sauf si vous configurez un nouveau message d'erreur personnalisé pour les règles suivantes.

Procédure

  1. Sur la page Ressources > Stratégies de la console Workspace ONE Access, ajoutez une stratégie ou modifiez une stratégie existante.
  2. Dans S'applique à, sélectionnez les applications auxquelles cette stratégie s'applique.
    Si vous ne sélectionnez aucune application, cette stratégie s'applique lorsque les utilisateurs se connectent au portail Workspace ONE Intelligent Hub.
  3. Cliquez sur Suivant pour ouvrir la page de Configuration.
  4. Sélectionnez le nom de la règle à modifier, ou pour ajouter une règle de stratégie, cliquez sur Ajouter une règle de stratégie.
    Option Description
    Si la plage réseau d'un utilisateur est Vérifiez que la plage réseau est correcte. En cas d'ajout d'une règle, sélectionnez la plage réseau.
    et l'utilisateur accédant au contenu depuis Sélectionnez le type de périphérique que cette règle gère.
    et l'utilisateur appartenant aux groupes Sélectionnez le groupe auquel cette règle s'applique.
    Puis effectuez cette action Sélectionnez S'authentifier à l'aide de....
    l'utilisateur peut ainsi s'authentifier à l'aide de Configurez la première méthode d'authentification à utiliser. Par exemple, Certificat (déploiement de Cloud).
    Si les méthodes précédentes échouent ou qu'elles ne s'appliquent pas, alors (facultatif) Configurez les méthodes d'authentification de secours.
    En cas d'échec de l'authentification, passer à la règle suivante Pour configurer cette règle afin de passer à la règle suivante de la stratégie en cas d'échec de l'authentification, activez cette option.
    Nouvelle authentification après Sélectionnez la durée de la session après laquelle les utilisateurs doivent s'authentifier à nouveau.

    Lorsque l'option En cas d'échec de l'authentification, passer à la règle suivante est activée, la réauthentification est déterminée à partir de la dernière règle exécutée.
  5. (Facultatif) Dans Propriétés avancées, si vous avez activé En cas d'échec de l'authentification, passer à la règle suivante, vous pouvez créer un message d'erreur d'accès personnalisé qui s'affiche en cas d'échec de l'authentification utilisateur qui explique l'avancement à la règle suivante. Le message d'erreur personnalisé et les liens configurés dans la première règle sont exécutés pour les règles suivantes, sauf si vous configurez un nouveau message d'erreur personnalisé pour les règles suivantes.
  6. Cliquez sur Suivant et sur Enregistrer.
  7. Cliquez sur AJOUTER UNE RÈGLE DE STRATÉGIE et continuez à configurer les règles pour passer à une autre règle en cas d'échec de l'authentification.
  8. Une fois que vous avez configuré la dernière règle dans la stratégie, désactivez En cas d'échec de l'authentification, passer à la règle suivante.