Abilitare il metodo di autenticazione App di autenticazione in Workspace ONE Access per l'autenticazione a due fattori per richiedere agli utenti di immettere un codice d'accesso monouso a tempo (TOTP) come seconda credenziale quando accedono all'app Workspace ONE Intelligent Hub o a qualsiasi app che richiede l'autenticazione a due fattori.

L'autenticazione a due fattori è un miglioramento della sicurezza che richiede di specificare due tipi di identificazione distinti per accedere. Gli utenti utilizzano un'app di autenticazione installata sul loro dispositivo per generare un codice d'accesso TOTP e utilizzano questo codice insieme alla prima credenziale di autenticazione per accedere a un'app. Gli utenti possono utilizzare l'app di autenticazione preferita sul loro dispositivo personale o mobile per generare il codice d'accesso TOTP. Non è necessario che il dispositivo sia un dispositivo gestito o registrato in Workspace ONE UEM.

Quando si abilita l'autenticazione dell'app di autenticazione nel servizio Workspace ONE Access, è possibile configurare il numero di volte per cui gli utenti possono immettere un codice d'accesso errato entro un determinato periodo di tempo prima che venga imposto un periodo di attesa di cinque minuti. Le configurazioni predefinite consentono al massimo cinque tentativi non riusciti in un intervallo di tempo di cinque minuti. Quando il sesto tentativo non riesce entro un periodo di cinque minuti, l'account utente non può eseguire nuovamente l'autenticazione con l'app di autenticazione per cinque minuti. L'implementazione di un periodo di attesa dopo l'immissione di un numero predefinito di codici d'accesso errati garantisce una protezione più efficace contro gli utenti potenzialmente malintenzionati e può essere adattata ai requisiti di sicurezza dell'organizzazione.

È possibile configurare messaggi personalizzati da visualizzare nella schermata di accesso per spiegare come registrare l'app e come procedere se non si è in grado di accedere.

Nel criterio di accesso predefinito o nel criterio di accesso di un'applicazione, configurare regole per richiedere l'autenticazione di un'app di un autenticazione come secondo tipo di autenticazione.

Un'app di autenticazione è integrata nell'app Workspace ONE Intelligent Hub per i dispositivi iOS e Android. Gli utenti finali possono toccare l'icona del proprio profilo per aprire la schermata Account e fare clic su Autenticazione a due fattori per configurare la funzionalità di autenticazione.

Gli utenti finali possono anche scaricare un'app di autenticazione basata sull'algoritmo TOTP RFC 6238 da Apple App Store o da Google Play Store. Possono inoltre utilizzare uno strumento per la gestione delle password basato sul browser che generi un codice d'accesso TOTP per accedere.

Quando gli utenti accedono per la prima volta, accedono con le prime credenziali di autenticazione richieste e viene chiesto loro di registrare l'app di autenticazione. Il messaggio di registrazione personalizzato creato viene visualizzato nella schermata Registra app autenticatore. Per la registrazione, utilizzano lo scanner integrato nell'app di autenticazione per eseguire la scansione del codice QR e immettono il codice d'accesso a sei cifre visualizzato nell'app di autenticazione. Se la fotocamera non è disponibile per la scansione del codice QR, gli utenti possono immettere manualmente il codice segreto nell'app di autenticazione per ottenere il codice d'accesso a sei cifre. Gli utenti possono visualizzare il codice segreto da immettere nell'app di autenticazione facendo clic su Usa invece un codice nella schermata di registrazione. Negli account utente della console di Workspace ONE Access non viene archiviata alcuna informazione di identificazione personale. Viene salvata solo la data di registrazione.

Figura 1. Schermata Registra app autenticatore con il codice QR
Screenshot con il messaggio di registrazione dell'app di autenticazione, il codice QR e il codice d'accesso del dispositivo

Quando gli utenti accedono dopo aver registrato l'app di autenticazione, viene chiesto loro di immettere il codice d'accesso di sei cifre visualizzato nell'app di autenticazione nel dispositivo. Gli utenti hanno un tempo limitato per immettere il codice d'accesso, in genere 30 secondi, prima che venga visualizzato un nuovo codice d'accesso.

Configurazione dell'app di autenticazione e abilitazione del provider di identità integrato

Procedura

  1. Nella pagina Integrazioni > Metodi di autenticazione della console di Workspace ONE Access, fare clic su App autenticatore.
  2. Fare clic su CONFIGURA.
    Opzione Descrizione
    Abilitazione dell'autenticazione dell'app autenticatore Abilitare l'interruttore Autenticazione adattatore app di autenticazione.
    Numero di tentativi consentiti Immettere il numero di volte per cui un utente può immettere un codice d'accesso errato prima che il tentativo di accesso non riesca e l'accesso venga negato.

    Il valore può essere impostato da 1 a 15.

    Il valore predefinito è 5 volte.
    Periodo nuovi tentativi Immettere il numero di minuti entro cui un utente deve riprovare a immettere un codice d'accesso prima che venga bloccato.

    Il valore per il nuovo tentativo può essere impostato da 5 a 60 minuti.

    Il valore predefinito è 5 minuti.

    Tempo di blocco Immettere il numero di minuti che un utente deve attendere quando viene raggiunto il valore di nuovi tentativi per poter tentare di nuovo l'accesso.

    Il valore del blocco può essere impostato da 5 a 60 minuti.

    Il valore predefinito è 5 minuti.
    Immettere il testo personalizzato per la registrazione Descrivere all'utente come procedere con l'accesso, incluso cosa installare e le operazioni da eseguire.

    Testo di esempio. 

    Installare un'app di autenticazione nel dispositivo ed eseguire la scansione di questo codice QR. Immettere il codice d'accesso monouso visualizzato nell'app di autenticazione.
    Immettere il testo personalizzato per il ripristino Descrivere cosa fare se l'utente non può accedere dall'app di autenticazione.

    Lo scenario predefinito di accesso consente a un utente di riprovare a immettere un codice d'accesso 5 volte in 5 minuti prima di essere bloccato per 5 minuti, dopo i quali può riprovare.

  3. Fare clic su SALVA.
  4. Passare a Integrazioni > Provider di identità e selezionare il provider di identità integrato.
    1. Nella sezione Metodi di autenticazione, selezionare App autenticatore.
    2. Fare clic su Salva.

Operazioni successive

Creare la regola del criterio di accesso per utilizzare l'app di autenticazione come secondo metodo di autenticazione per l'autenticazione a due fattori. Vedere Aggiunta del criterio di accesso predefinito di Workspace ONE Access con regole di autenticazione.

Reimpostazione della registrazione dell'app di autenticazione per un utente

Quando si viene contattati da un utente che non riesce a utilizzare l'app di autenticazione per accedere all'app Workspace ONE Intelligent Hub oppure a un'applicazione nel catalogo di Hub che richiede l'autenticazione a due fattori, è necessario reimpostare l'app di autenticazione registrata dalla console. Quando si fa clic su Reimposta, l'app di autenticazione registrata viene eliminata. Al successivo accesso, agli utenti viene chiesto di registrare nuovamente l'app di autenticazione.

  1. Nella pagina Account > Utenti della console di Workspace ONE Access, selezionare il nome utente che richiede la reimpostazione.
  2. Nella sezione App autenticatore della scheda Autenticazione a due fattori, fare clic su REIMPOSTA.
  3. Nella finestra di dialogo visualizzata, fare clic su REIMPOSTA per confermare l'azione.