Configurare le regole dei criteri di accesso all’app nella console di amministrazione Okta.

Per configurare un accesso granulare all'app, applicare le condizioni in modo selettivo quando si creano una o più regole con priorità in base a:

  • Chi sono gli utenti e i gruppi a cui appartengono
  • Se si trovano in rete o meno o all'interno di una zona di rete definita
  • Il tipo di client in esecuzione sul proprio dispositivo (solo app Office 365)
  • La piattaforma del dispositivo mobile o desktop
  • Se questi dispositivi sono attendibili

Per seguire un approccio whitelist per la creazione delle regole dei criteri di accesso:

  1. Creare una o più regole permissive che supportino gli scenari che consentiranno l'accesso all'app, quindi assegnare a tali regole la priorità più alta.
  2. Creare una regola di negazione catch-all che si applicherà agli utenti che non corrispondono agli scenari permissivi creati nel passaggio 1. Assegnare alla regola di negazione catchall la priorità più bassa, appena sopra la regola predefinita di Okta. Nell'approccio whitelist descritto di seguito, la regola predefinita non viene mai raggiunta perché è effettivamente negata dalla regola di negazione catchall.

Se si disattiva l'attendibilità del dispositivo, attenersi alle seguenti linee guida:

  • Non disabilitare l'impostazione relativa all'attendibilità del dispositivo nella pagina Security > Device trust se è stato anche configurato un criterio di accesso all'app sul criterio nella pagina Applications > app > Sign On Policy che consente dispositivi attendibili. In caso contrario, la configurazione di attendibilità del dispositivo sarà in uno stato non coerente.

    Per disabilitare l'attendibilità del dispositivo per la propria organizzazione, rimuovere prima qualsiasi criterio di accesso all'app che contiene un'impostazione di attendibilità del dispositivo, quindi disabilitare l'attendibilità del dispositivo nella pagina Security > Device Trust.

  • Se si chiede a Okta di disabilitare la soluzione di attendibilità del dispositivo per l'organizzazione (che è separata dall'impostazione Enable Device Trust abilitata nella pagina Security > Device Trust), assicurarsi di cambiare prima l'impostazione di attendibilità del dispositivo nelle regole dei criteri di accesso all’app su Any. Se la modifica non viene apportata e successivamente Okta riattiva la soluzione di attendibilità del dispositivo per l'organizzazione, l'impostazione di attendibilità del dispositivo nelle regole dei criteri di accesso all’app avrà effetto immediato, operazione che potrebbe non essere prevista.

Per ulteriori informazioni sulla creazione delle regole dei criteri di accesso, vedere https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm.

Prerequisiti

Accedere alla console di amministrazione Okta come App, Org o Super Admin, poiché solo questi ruoli possono configurare i criteri di accesso all'app.

Procedura

  1. Nella console di amministrazione di Okta, fare clic sulla scheda Applicazioni (Applications), quindi fare clic sull'app SAML o abilitata per WS-Fed che si desidera proteggere con l'attendibilità del dispositivo.
  2. Fare clic sulla scheda Accedi (Sign On), scorrere verso il basso fino alla sezione Politica di accesso (Sign On Policy) e fare clic su Aggiungi regola (Add Rule).
  3. Configurare una o più regole utilizzando la whitelist di esempio come guida.
    Nota: Per impostazione predefinita, tutte le opzioni del client nella finestra di dialogo Regola di accesso all'app sono preselezionate. Non è possibile selezionare le opzioni Attendibile (Trusted) e Non attendibile (Not trusted) nella sezione relativa all'attendibilità del dispositivo, a meno che non vengano deselezionate le seguenti opzioni nella sezione Client:
    • Exchange ActiveSync o Client di autenticazione legacy (Exchange ActiveSync or Legacy Auth client)
    • Altro cellulare (ad esempio, BlackBerry) (Other mobile (e.g. BlackBerry))
    • Altro desktop (ad esempio, Linux) (Other desktop (e.g. Linux))

Esempio: Whitelist di esempio

Gli utenti che dispongono di dispositivi non attendibili vengono guidati tramite la registrazione a Workspace ONE o vengono reindirizzati alla destinazione del collegamento di registrazione configurato in Abilitazione delle impostazioni di attendibilità dispositivo in Okta.

Regola di esempio 1: browser Web; Autenticazione moderna; iOS e/o Android; Attendibile; Consenti accesso + MFA

Esempio di regola 2: browser Web; Autenticazione moderna; Tutte le piattaforme tranne iOS e/o Android; Qualsiasi attendibilità; Consenti accesso + MFA

Regola di esempio 3: browser Web; Autenticazione moderna; iOS e/o Android; Non attendibile; Nega accesso

Regola 4: regola di accesso predefinita - Qualsiasi client, tutte le piattaforme; Qualsiasi attendibilità; Consenti accesso

Nota: La whitelist di esempio seguente mostra le regole di attendibilità del dispositivo per la gestione dell'accesso a Office 365. Per altre app, tenere presente che la sezione Se il client dell'utente è uno di questi (If the user's client is any of these) non è presente.