Vous pouvez créer deux règles de stratégie pour FIDO2 dans la stratégie d'accès par défaut du service Workspace ONE Access, une règle d'enregistrement et une règle d'authentification.

Conditions préalables

Authentification FIDO2 activée et configurée dans le service Workspace ONE Access. Reportez-vous à la section Configuration de l'authentification sans mot de passe FIDO2 dans Workspace ONE Access (cloud uniquement).

Procédure

  1. Dans la console Workspace ONE Access, sur la page Ressources > Stratégies, sélectionnez MODIFIER LA STRATÉGIE PAR DÉFAUT.
  2. Cliquez sur Suivant pour ouvrir la page de configuration.
  3. Pour créer la règle d'enregistrement, cliquez sur Ajouter une règle de stratégie.
    Option Description
    Si la plage réseau d'un utilisateur est Sélectionnez la plage réseau.
    Assurez-vous que les plages réseau que vous sélectionnez couvrent toutes les adresses IP des utilisateurs finaux qui sont utilisées pour l'enregistrement FIDO2.
    Note : Si vous sélectionnez TOUTES LES PLAGES, vérifiez que les adresses IP définies intègrent toutes les plages d'adresses IP possibles du client final.
    et l'utilisateur accédant au contenu à partir de Sélectionnez le type de terminal Tous les types de terminaux.
    et l'utilisateur appartenant aux groupes Si cette règle d'accès va s'appliquer à des groupes spécifiques, recherchez les groupes dans la zone de recherche.

    Si aucun groupe n'est sélectionné, la règle de stratégie d'accès s'applique à tous les utilisateurs.

    et l'utilisateur enregistre l'authentificateur FIDO2 Activez cette valeur sur Oui.
    Puis effectuez cette action Sélectionnez S'authentifier à l'aide de....
    l'utilisateur peut ainsi s'authentifier à l'aide de Configurez la méthode d'authentification présentée aux utilisateurs avant de leur permettre d'enregistrer un authentificateur sur leur compte.
    Si les méthodes précédentes échouent ou qu'elles ne s'appliquent pas, alors (Facultatif) Configurez les méthodes d'authentification de secours.
    Note : Si vous enregistrez des clés FIDO2 à partir de la console Workspace ONE Access, la règle de stratégie d'enregistrement n'est pas requise.
  4. Cliquez sur ENREGISTRER. La page Configuration s'affiche.
  5. Pour créer la règle d'authentification, cliquez sur Ajouter une règle de stratégie.
    Option Description
    Si la plage réseau d'un utilisateur est Sélectionnez la plage réseau.
    et l'utilisateur accédant au contenu à partir de Sélectionnez le type de terminal Tous les types de terminaux.
    et l'utilisateur appartenant aux groupes Si cette règle d'accès va s'appliquer à des groupes spécifiques, recherchez les groupes dans la zone de recherche.

    Si aucun groupe n'est sélectionné, la règle de stratégie d'accès s'applique à tous les utilisateurs.

    et l'utilisateur enregistre l'authentificateur FIDO2 Basculez sur NON.
    Puis effectuez cette action Sélectionnez Authentification à l'aide de.
    l'utilisateur peut ainsi s'authentifier à l'aide de Sélectionnez FIDO2.
    Si les méthodes précédentes échouent ou qu'elles ne s'appliquent pas, alors (Facultatif)
  6. Cliquez sur ENREGISTRER.
  7. Sur la page Configuration, déplacez la règle de stratégie d'enregistrement FIDO au-dessus de la règle de stratégie d'authentification FIDO2 pour permettre aux utilisateurs de s'enregistrer.
  8. Cliquez sur SUIVANT, puis sur ENREGISTRER.
    Dépannage du problème d'accès refusé lors de la connexion

    Lorsque les utilisateurs se connectent et reçoivent un message Access refusé, la stratégie d'accès peut ne pas être configurée correctement.

    • Dans la console Workspace ONE Access, ouvrez la page Surveiller > Rapports et sélectionnez le rapport Événements d'audit.
    • Créez le rapport. Sélectionnez le nom d'utilisateur et, pour Type, sélectionnez LOGIN_ERROR.
    • Sélectionnez Afficher les détails.

      Dans le journal des événements, si les entrées du journal affichent "requestParams" : "[fido2Enrollment]", "message" : "No matching policy found.", assurez-vous que la règle de stratégie d'enregistrement de l'utilisateur final FIDO2 intègre toutes les plages d'adresses IP nécessaires. Vérifiez les paramètres TOUTES LES PLAGES pour vous assurer que TOUTES LES PLAGES correspond bien à toutes les plages.