Creare due regole dei criteri per FIDO2 nel criterio di accesso predefinito del servizio Workspace ONE Access, una regola di registrazione e una regola di autenticazione.

Prerequisiti

Autenticazione FIDO2 abilitata e configurata nel servizio Workspace ONE Access. Vedere Come configurare l'autenticazione senza password FIDO2 in Workspace ONE Access (solo cloud)

Procedura

  1. Nella pagina Risorse > Criteri della console di Workspace ONE Access, selezionare Modifica criterio predefinito.
  2. Fare clic su Avanti per aprire la pagina di configurazione.
  3. Per creare la regola di registrazione, fare clic su Aggiungi regola criterio.
    Opzione Descrizione
    Se l'intervallo di rete di un utente è Selezionare l'intervallo di rete.
    Assicurarsi che gli intervalli di rete selezionati comprendano tutti gli indirizzi IP degli utenti finali utilizzati per la registrazione di FIDO2.
    Nota: Se si seleziona TUTTI GLI INTERVALLI, verificare che gli indirizzi IP definiti includano tutti i possibili intervalli di IP del client dell'utente finale.
    e l'utente accede al contenuto da Selezionare il tipo di dispositivo Tutti i tipi di dispositivi.
    e l'utente appartiene al gruppo o ai gruppi Se questa regola di accesso verrà applicata a gruppi specifici, cercare i gruppi nella casella di ricerca.

    Se non si seleziona alcun gruppo, la regola dei criteri di accesso viene applicata a tutti gli utenti.

    e l'utente sta registrando l'autenticatore FIDO2 Abilitare questa opzione impostandola su .
    Eseguire questa azione Selezionare Esegui autenticazione mediante...
    l'utente può eseguire l'autenticazione mediante Configurare il metodo di autenticazione disponibile per gli utenti prima di consentire loro di registrare un autenticatore per il proprio account.
    Se il metodo precedente non riesce o non è applicabile, (Facoltativo) Configurare i metodi di autenticazione di fallback.
    Nota: Se si stanno registrando le chiavi FIDO2 dalla console di Workspace ONE Access, la regola del criterio di registrazione non è obbligatoria.
  4. Fare clic su SALVA. Viene visualizzata la pagina Configurazione.
  5. Per creare la regola di autenticazione, fare clic su Aggiungi regola criterio.
    Opzione Descrizione
    Se l'intervallo di rete di un utente è Selezionare l'intervallo di rete.
    e l'utente accede al contenuto da Selezionare il tipo di dispositivo Tutti i tipi di dispositivi.
    e l'utente appartiene al gruppo o ai gruppi Se questa regola di accesso verrà applicata a gruppi specifici, cercare i gruppi nella casella di ricerca.

    Se non si seleziona alcun gruppo, la regola dei criteri di accesso viene applicata a tutti gli utenti.

    e l'utente sta registrando l'autenticatore FIDO2 Passare a NO.
    Eseguire questa azione Selezionare Esegui autenticazione mediante.
    l'utente può eseguire l'autenticazione mediante Selezionare FIDO2.
    Se il metodo precedente non riesce o non è applicabile, (Facoltativo)
  6. Fare clic su SALVA.
  7. Nella pagina Configurazione, spostare la regola del criterio di registrazione FIDO sopra la regola del criterio di autenticazione FIDO2 per consentire agli utenti di registrarsi.
  8. Fare clic su AVANTI, quindi su SALVA.
    Risoluzione dei problemi di accesso negato durante l'accesso

    Quando gli utenti accedono e ricevono un messaggio di Access negato, è possibile che il criterio di accesso non sia configurato correttamente.

    • Nella console di Workspace ONE Access, aprire la pagina Monitora > Report e selezionare il report Auditing eventi.
    • Creare il report. Selezionare il nome utente e per Tipo, selezionare LOGIN_ERROR.
    • Selezionare Visualizza dettagli.

      Nel registro eventi, se le voci del registro vengono visualizzate "requestParams" : "[fido2Enrollment]", "message" : "nessun criterio corrispondente è stato trovato"., assicurarsi che la regola del criterio di registrazione dell'utente finale FIDO2 includa tutti gli intervalli IP necessari. Controllare le impostazioni TUTTI GLI INTERVALLI per assicurarsi che TUTTI GLI INTERVALLI includa effettivamente tutti gli intervalli.