Workspace ONE Access サービスのデフォルトのアクセス ポリシーで、FIDO2 の 2 つのポリシー ルール、すなわち登録ルールと認証ルールを作成します。
前提条件
Workspace ONE Access サービスで FIDO2 認証が有効化および構成されていること。Workspace ONE Access での FIDO2 のパスワードなし認証の構成方法(クラウドのみ) を参照してください。
手順
- Workspace ONE Access コンソールの [リソース] > [ポリシー] ページで、[デフォルト ポリシーの編集] を選択します。
- [次へ] をクリックして [構成] ページを開きます。
- 登録ルールを作成するには、[ポリシー ルールを追加] をクリックします。
オプション 説明 ユーザーのネットワーク範囲が次の場合 ネットワーク範囲を選択します。 選択したネットワーク範囲が、FIDO2 登録に使用されるすべてのエンド ユーザーの IP アドレスをカバーしていることを確認します。注: [すべての範囲] を選択した場合は、定義されている IP アドレスに使用可能なすべてのエンド ユーザー クライアントの IP アドレス範囲が組み込まれていることを検証します。ユーザーが次からコンテンツにアクセスする場合 デバイス タイプ [すべてのデバイス タイプ] を選択します。 また、ユーザーが次のグループに属する場合 このアクセス ルールが特定のグループに適用される場合は、検索ボックスでグループを検索します。 グループが選択されていない場合、アクセス ポリシー ルールはすべてのユーザーに適用されます。
およびユーザーが FIDO2 認証器を登録しています [はい] を選択して有効にします。 このアクションを実行します [以下を認証に使用...] を選択します。 ユーザーは次を使用して認証することができます ユーザーが自分のアカウントに認証子を登録できるようにする前に、ユーザーに表示される認証方法を構成します。 先の方法が失敗するか適用できない場合、次を実行 (オプション)フォールバック認証方法を構成します。 注: Workspace ONE Access コンソールから FIDO2 キーを登録する場合、登録ポリシー ルールは必要ありません。 - [保存] をクリックします。[構成] ページが表示されます。
- 認証ルールを作成するには、[ポリシー ルールを追加] をクリックします。
オプション 説明 ユーザーのネットワーク範囲が次の場合 ネットワーク範囲を選択します。 ユーザーが次からコンテンツにアクセスする場合 デバイス タイプ [すべてのデバイス タイプ] を選択します。 また、ユーザーが次のグループに属する場合 このアクセス ルールが特定のグループに適用される場合は、検索ボックスでグループを検索します。 グループが選択されていない場合、アクセス ポリシー ルールはすべてのユーザーに適用されます。
およびユーザーが FIDO2 認証器を登録しています [いいえ] に切り替えます。 このアクションを実行します [以下を認証に使用] を選択します。 ユーザーは次を使用して認証することができます [FIDO2] を選択します。 先の方法が失敗するか適用できない場合、次を実行 (オプション) - [保存] をクリックします。
- [構成] ページで、FIDO 登録ポリシー ルールを FIDO2 認証ポリシー ルールの上に移動して、ユーザーの登録を許可します。
- [次へ] をクリックして [保存] をクリックします。
[ログイン時のアクセス拒否問題のトラブルシューティング]
ユーザーがログインして [アクセスは拒否されました] というメッセージを受信した場合、アクセス ポリシーが正しく構成されていない可能性があります。
- Workspace ONE Access コンソールで、[監視] > [レポート] ページを開き、[監査イベント] レポートを選択します。
- レポートを作成します。ユーザー名を選択し、[タイプ] に [LOGIN_ERROR] を選択します。
- [詳細表示] を選択します。
イベント ログで、ログ エントリに "requestParams" : "[fido2Enrollment]", "message" : "No matching policy found." と表示されている場合、FIDO2 エンド ユーザー登録ポリシー ルールに必要なすべての IP アドレス範囲が組み込まれていることを確認します。[すべての範囲] の設定を確認して、[すべての範囲] が実際にすべての範囲であることを確認します。