Workspace ONE Access サービスでは、現在のルールで認証に失敗した場合に次のルールに進むためのルールを持つアクセス ポリシーを作成できます。通常、アクセス ポリシーの実行は、最初に一致するルールの条件が実行されると終了します。

このポリシー ルールの進行オプションを使用すると、現在のルールで認証が失敗した場合に、ルールの評価をポリシー内の次に一致するルールに進めることができます。次のルールへの進行オプションを有効にすると、ユーザー セットごとのネットワーク範囲、デバイス タイプ、およびグループ メンバーシップ条件を使用して、各進行ルールを構成できます。

たとえば、正社員は証明書(クラウド デプロイ)を、契約社員はパスワードをそれぞれ認証方法として使用できるようにする場合は、デフォルトのアクセス ポリシーでルールの進行状況オプション [認証に失敗した場合は、次のルールに進みます] を有効にできます。正社員の認証方法として証明書(クラウド デプロイ)を使用するグループベースのルールを作成し、契約社員の認証方法としてパスワードを使用する別のグループベースのルールを作成します。

アクセス ポリシー構成の例を次に示します。

ルール 1 の構成:
  • ネットワーク範囲は、[ALL NETWORKS] です。
  • ユーザーは [任意] からコンテンツにアクセスできます。
  • ユーザーは、[All Users] グループに属しています。
  • [証明書(クラウド デプロイ)] を使用して認証します。
  • 認証に失敗した場合は、次のルール トグルへの進行が [有効] になります。

ユーザーがログインを試みると、最初のルールが提示されます。証明書(クラウド デプロイ)を使用するユーザーが認証されます。証明書(クラウド デプロイ)を使用しないユーザーには、2 番目のルールが提示されます。

ルール 2 の構成:
  • ネットワーク範囲は、[ALL NETWORKS] です。
  • ユーザーは [任意] からコンテンツにアクセスできます。
  • ユーザーは、[Contract Workers] グループに属しています。
  • [パスワード(クラウド デプロイ)] を使用して認証します
  • 認証に失敗した場合は、次のルール トグルへの進行が [無効] になります。

契約社員ユーザーに 2 番目のルールが提示されるときに、パスワードの入力を求められます。入力すると、契約社員ユーザーが認証されます。[認証に失敗した場合は、次のルールに進みます] が無効なので、ユーザーがアクセスを拒否されると、他のルールは表示されません。

作成する各ポリシー ルールに、カスタムのアクセス拒否エラー メッセージを作成できます。このメッセージは、認証情報が無効なため、ユーザーのログインが失敗したときに表示されます。[認証に失敗した場合は、次のルールに進みます] が有効になっているときにカスタム エラー メッセージを構成すると、後続のルールに新しいカスタム エラー メッセージを構成しない限り、最初のルールで構成されたカスタム エラー メッセージとリンクが後続のルールに対して実行されます。

手順

  1. Workspace ONE Access コンソールの [リソース] > [ポリシー] ページで、ポリシーを追加するか、既存のポリシーを編集します。
  2. [適用先] で、このポリシーが適用されるアプリケーションを選択します。
    アプリケーションを選択しない場合、このポリシーはユーザーが Workspace ONE Intelligent Hub ポータルにログインするときに適用されます。
  3. [次へ] をクリックして [構成] ページを開きます。
  4. 編集するルール名を選択するか、ポリシー ルールを追加するには [ポリシー ルールの追加] をクリックします。
    オプション 説明
    ユーザーのネットワーク範囲が次の場合 ネットワーク範囲が正しいことを確認します。ルールを追加する場合は、ネットワーク範囲を選択します。
    ユーザーが次からコンテンツにアクセスする場合 このルールが管理するデバイス タイプを選択します。
    また、ユーザーが次のグループに属する場合 このルールが適用されるグループを選択します。
    このアクションを実行します [以下を認証に使用...] を選択します。
    ユーザーは次を使用して認証することができます 使用する最初の認証方法を構成します。たとえば、[証明書(クラウド デプロイ)] です。
    先の方法が失敗するか適用できない場合、次を実行 (オプション)フォールバック認証方法を構成します。
    認証に失敗した場合は、次のルールに進みます。 認証に失敗した場合にポリシーの次のルールに進むようこのルールを設定するには、このオプションを [有効] にします。
    再認証までの待機時間 ユーザーによる再認証が必要となるまでのセッション長さを選択します。

    [認証に失敗した場合は、次のルールに進みます] を有効にすると、再認証は最後に実行されたルールから決定されます。
  5. (オプション)[詳細プロパティ] で、[認証に失敗した場合は、次のルールに進みます] を有効にした場合は、ユーザー認証が失敗したときに表示される、次のルールへの進行について説明するカスタム アクセス エラー メッセージを作成できます。後続のルールに新しいカスタム エラー メッセージを構成しない限り、最初のルールで構成されたカスタム エラー メッセージとリンクが後続のルールに対して実行されます。
  6. [次へ] をクリックしてから、[保存] をクリックします。
  7. [ポリシー ルールを追加] をクリックし、認証が失敗した場合に別のルールに進むルールを構成します。
  8. ポリシーの最後のルールを構成したら、[認証に失敗した場合は、次のルールに進みます] を無効にします。