Configureer beleidsregels voor appaanmelding in de Okta-beheerconsole.

Om meer gedetailleerde toegang tot de app te configureren, past u selectief voorwaarden toe terwijl u een of meer geprioriteerde regels maakt gebaseerd op:

  • Wie gebruikers zijn en de groepen waartoe ze behoren
  • Of ze zich op het netwerk bevinden of zich binnen een gedefinieerde tijdszone bevinden
  • Het type client dat wordt uitgevoerd op hun apparaat (alleen Office 365 apps)
  • Het platform of hun mobiele apparaat of desktop
  • Of hun apparaten wel of niet vertrouwd worden

Als u een methode met toestemmingslijst volgt om beleidsregels voor aanmelding te maken:

  1. Maak een of meer regels voor toegang aan om de scenario's mogelijk te maken waarin toegang wordt gegeven tot de app en geef aan die regels de hoogste prioriteit.
  2. Maak een Deny catch all-regel voor het verbieden van toegang die van toepassing is op gebruikers die niet voldoen aan de scenario's voor toegang die u hebt gemaakt in stap 1. Wijs aan de catchall-regel voor het verbieden van toegang de laagste prioriteit toe, net boven de Standaardregel van Okta. In de methode met toestemmingslijst die hier wordt beschreven, wordt de standaardregel nooit bereikt om deze effectief negatief wordt gemaakt door de Deny catch all-regel.

Als u Apparaatvertrouwen deactiveert, volgt u deze richtlijnen:

  • Deselecteer de instelling Apparaatvertrouwen niet op de pagina Beveiliging > Apparaatvertrouwen als u ook een beleid voor appaanmelding hebt geconfigureerd op de pagina Applicaties > App > Aanmeldingsbeleid dat vertrouwde apparaten toestaat. Anders komt uw configuratie voor Apparaatvertrouwen in een inconsistente staat terecht.

    Als u Apparaatvertrouwen voor uw organisatie deactiveert, verwijdert u eerst alle beleidsregels voor appaanmelding die een instelling voor Apparaatvertrouwen bevatten en vervolgens deselecteert u Apparaatvertrouwen op de pagina Beveiliging > Apparaatvertrouwen.

  • Als u Okta vraagt om de oplossing voor Apparaatvertrouwen te deactiveren voor uw organisatie (die gescheiden is van de instelling Apparaatvertrouwen inschakelen die u hebt ingeschakeld op de pagina Beveiliging > Apparaatvertrouwen), zorg er dan eerst voor dat u de instelling Apparaatvertrouwen in de beleidsregels voor aanmelden bij de app wijzigt naar Alle. Als u deze wijziging niet maakt en later de oplossing Apparaatvertrouwen voor uw organisatie opnieuw laat inschakelen door Okta, wordt de instelling Apparaatvertrouwen in de beleidsregels voor aanmelden bij de app onmiddellijk van kracht en dit had u mogelijk niet verwacht.

Voor meer informatie over het maken van beleidsregels voor aanmelden raadpleegt u https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm.

Voorwaarden

Meld u aan bij de Okta-beheerconsole als een app-, organisatie- of superbeheerder, want alleen deze rollen kunnen beleidsregels voor appaanmelding configureren.

Procedure

  1. Klik in de Okta-beheerconsole op het tabblad Applicaties en klik vervolgens op de SAML- of WS-Fed-ingeschakelde app die u wilt beschermen met Apparaatvertrouwen.
  2. Klik op het tabblad Aanmelden, scrol naar beneden naar het gedeelte Aanmeldingsbeleid en klik op Regels toevoegen.
  3. Configureer een of meer regels met behulp van de voorbeeldtoestemmingslijst als leidraad.
    Opmerking: Standaard worden alle Client-opties in het dialoogvenster Beleidsregels voor aanmelden bij de app geselecteerd. U kunt de opties Vertrouwd en Onvertrouwd in het gedeelte Apparaatvertrouwen niet selecteren, behalve als u de volgende opties in het onderdeel Client deselecteert:
    • Exchange ActiveSync- of Legacy Auth-client
    • Ander mobiel apparaat (bijv. BlackBerry)
    • Andere desktop (bijv. Linux)

Voorbeeld: Voorbeeldtoestemmingslijst

Gebruikers met onvertrouwde apparaten worden door de inschrijving van Workspace ONE geleid of verwezen naar de link voor inschrijving zoals geconfigureerd in stap Instellingen voor Apparaatvertrouwen inschakelen in Okta.

Voorbeeldregel 1: webbrowser, moderne Auth, iOS en/of Android, Vertrouwd, Toegang toestaan + MFA

Voorbeeldregel 2: webbrowser, moderne Auth, alle platformen behalve iOS en/of Android, Ieder vertrouwensniveau, Toegang toestaan + MFA

Voorbeeldregel 3: webbrowser, moderne Auth, iOS en/of Android, Onvertrouwd, Toegang weigeren

Regel 4: standaard aanmeldingsregel – Iedere client, alle platformen, ieder vertrouwensniveau, toegang toestaan

Opmerking: Dit voorbeeld van een toestemmingslijst geeft regels voor Apparaatvertrouwen weer voor het beheren van toegang tot Office 365. Voor andere apps wordt het gedeelte Als de gebruiker een van deze clients heeft niet weergegeven.