Workspace ONE Access サービスでは、現在のルールで認証に失敗した場合に次のルールに進むためのルールを持つアクセス ポリシーを作成できます。通常、アクセス ポリシーの実行は、最初に一致するルールの条件が実行されると終了します。
このポリシー ルールの進行オプションを使用すると、現在のルールで認証が失敗した場合に、ルールの評価をポリシー内の次に一致するルールに進めることができます。次のルールへの進行オプションを有効にすると、ユーザー セットごとのネットワーク範囲、デバイス タイプ、およびグループ メンバーシップ条件を使用して、各進行ルールを構成できます。
たとえば、正社員は証明書(クラウド デプロイ)を、契約社員はパスワードをそれぞれ認証方法として使用できるようにする場合は、デフォルトのアクセス ポリシーでルールの進行状況オプション [認証に失敗した場合は、次のルールに進みます] を有効にできます。正社員の認証方法として証明書(クラウド デプロイ)を使用するグループベースのルールを作成し、契約社員の認証方法としてパスワードを使用する別のグループベースのルールを作成します。
アクセス ポリシー構成の例を次に示します。
- ネットワーク範囲は、[ALL NETWORKS] です。
- ユーザーは [任意] からコンテンツにアクセスできます。
- ユーザーは、[All Users] グループに属しています。
- [証明書(クラウド デプロイ)] を使用して認証します。
- 認証に失敗した場合は、次のルール トグルへの進行が [有効] になります。
ユーザーがログインを試みると、最初のルールが提示されます。証明書(クラウド デプロイ)を使用するユーザーが認証されます。証明書(クラウド デプロイ)を使用しないユーザーには、2 番目のルールが提示されます。
- ネットワーク範囲は、[ALL NETWORKS] です。
- ユーザーは [任意] からコンテンツにアクセスできます。
- ユーザーは、[Contract Workers] グループに属しています。
- [パスワード(クラウド デプロイ)] を使用して認証します
- 認証に失敗した場合は、次のルール トグルへの進行が [無効] になります。
契約社員ユーザーに 2 番目のルールが提示されるときに、パスワードの入力を求められます。入力すると、契約社員ユーザーが認証されます。[認証に失敗した場合は、次のルールに進みます] が無効なので、ユーザーがアクセスを拒否されると、他のルールは表示されません。
作成する各ポリシー ルールに、カスタムのアクセス拒否エラー メッセージを作成できます。このメッセージは、認証情報が無効なため、ユーザーのログインが失敗したときに表示されます。[認証に失敗した場合は、次のルールに進みます] が有効になっているときにカスタム エラー メッセージを構成すると、後続のルールに新しいカスタム エラー メッセージを構成しない限り、最初のルールで構成されたカスタム エラー メッセージとリンクが後続のルールに対して実行されます。