Configurare le regole dei criteri di accesso all’app nella console di amministrazione di Okta.

Per configurare un accesso granulare all'app, applicare le condizioni in modo selettivo quando si creano una o più regole con priorità in base a:

  • Chi sono gli utenti e i gruppi a cui appartengono
  • Se si trovano in rete o meno o all'interno di una zona di rete definita
  • Il tipo di client in esecuzione sul proprio dispositivo (solo app Office 365)
  • La piattaforma del dispositivo mobile o desktop
  • Se questi dispositivi sono attendibili

Per utilizzare un elenco di elementi consentiti durante creazione delle regole dei criteri di accesso:

  1. Creare una o più regole permissive che supportino gli scenari che consentiranno l'accesso all'app, quindi assegnare a tali regole la priorità più alta.
  2. Creare una regola di negazione catch-all che si applicherà agli utenti che non corrispondono agli scenari permissivi creati nel passaggio 1. Assegnare alla regola di negazione catchall la priorità più bassa, appena sopra la regola predefinita di Okta. Nell'approccio che prevede l'utilizzo di un elenco di elementi consentiti descritto qui, la regola predefinita non viene mai raggiunta perché viene in effetti negata dalla regola onnicomprensiva Nega.

Se si disattiva l'attendibilità del dispositivo, attenersi alle seguenti linee guida:

  • Non deselezionare l'impostazione relativa all'attendibilità del dispositivo nella pagina Security > Device Trust se è stato configurato anche un criterio di accesso all'app nella pagina Applications > app > Sign On Policy che consente dispositivi attendibili. In caso contrario, la configurazione di attendibilità del dispositivo sarà in uno stato non coerente.

    Per disabilitare l'attendibilità del dispositivo per la propria organizzazione, rimuovere innanzitutto qualsiasi criterio di accesso all'app che contiene un'impostazione Device Trust, quindi deselezionare Device Trust nella pagina Security > Device Trust.

  • Se si chiede a Okta di disattivare la soluzione Device Trust per l'organizzazione (che è separata dall'impostazione Enable Device Trust abilitata nella pagina Security > Device Trust), assicurarsi di modificare innanzitutto l'impostazione Device Trust nelle regole dei criteri di accesso all’app impostandola su Any. Se non si apporta questa modifica e successivamente Okta riabilita la soluzione Device Trust per l'organizzazione, l'impostazione Device Trust nelle regole dei criteri di accesso all’app viene applicata immediatamente, operazione che potrebbe non essere prevista.

Per ulteriori informazioni sulla creazione delle regole dei criteri di accesso, vedere https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm.

Prerequisiti

Accedere alla console di amministrazione di Okta come App, Organizzazione o Amministratore con privilegi avanzati, perché solo questi ruoli possono configurare i criteri di accesso all'app.

Procedura

  1. Nella console di amministrazione di Okta, fare clic sulla scheda Applicazioni, quindi fare clic sull'app SAML o abilitata per WS-Fed che si desidera proteggere con l'attendibilità del dispositivo.
  2. Fare clic sulla scheda Accedi, scorrere verso il basso fino alla sezione Politica di accesso e fare clic su Aggiungi regola.
  3. Configurare una o più regole utilizzando l'elenco di elementi consentiti di esempio come guida.
    Nota: Per impostazione predefinita, tutte le opzioni del client nella finestra di dialogo Regola di accesso all'app sono preselezionate. Non è possibile selezionare le opzioni Attendibile e Non attendibile nella sezione relativa all'attendibilità del dispositivo, a meno che non vengano deselezionate le seguenti opzioni nella sezione Client:
    • Exchange ActiveSync o Client di autenticazione legacy
    • Altro cellulare (ad esempio, BlackBerry)
    • Altro desktop (ad esempio, Linux)

Esempio: Elenco di elementi consentiti di esempio

Gli utenti che dispongono di dispositivi non attendibili vengono guidati tramite la registrazione a Workspace ONE o vengono reindirizzati alla destinazione del collegamento di registrazione configurato in Abilitazione delle impostazioni di attendibilità dispositivo in Okta.

Regola di esempio 1: browser Web; Autenticazione moderna; iOS e/o Android; Attendibile; Consenti accesso + MFA

Esempio di regola 2: browser Web; Autenticazione moderna; Tutte le piattaforme tranne iOS e/o Android; Qualsiasi attendibilità; Consenti accesso + MFA

Regola di esempio 3: browser Web; Autenticazione moderna; iOS e/o Android; Non attendibile; Nega accesso

Regola 4: regola di accesso predefinita - Qualsiasi client, tutte le piattaforme; Qualsiasi attendibilità; Consenti accesso

Nota: L'elenco di elementi consentiti di esempio indica le regole di Device Trust per la gestione dell'accesso a Office 365. Per altre app, tenere presente che la sezione Se il client dell'utente è uno di questi non è presente.