U maakt twee beleidsregels voor FIDO2 in het standaardtoegangsbeleid in de Workspace ONE Access-service: een registratieregel en een verificatieregel.

Voorwaarden

FIDO2-verificatie is ingeschakeld en geconfigureerd in de Workspace ONE Access-service. Zie FIDO2-verificatie zonder wachtwoord configureren in Workspace ONE Access (alleen cloud)

Procedure

  1. Selecteer STANDAARDBELEID BEWERKEN op de pagina Resources > Beleidsregels in de Workspace ONE Access-console.
  2. Klik op Volgende om de pagina Configuratie te openen.
  3. Als u de registratieregel wilt maken, klikt u op Beleidsregel toevoegen.
    Optie Beschrijving
    Als het netwerkbereik van een gebruiker Selecteer het netwerkbereik.
    Zorg ervoor dat de netwerkbereiken die u selecteert, alle IP-adressen van eindgebruikers omvatten die voor de FIDO2-registratie worden gebruikt.
    Opmerking: Als u ALLE BEREIKEN selecteert, valideert u of de gedefinieerde IP-adressen alle mogelijke IP-bereiken van de eindgebruikersclient omvatten.
    is en de gebruiker probeert inhoud te openen van Selecteer het apparaattype Alle apparaattypen.
    en de gebruiker behoort tot de groepen Als u deze toegangsregel wilt toepassen op specifieke groepen, zoekt u naar de groepen in het zoekvak.

    Als geen groep is geselecteerd, is het toegangsbeleid van toepassing op alle gebruikers.

    en de gebruiker registreert de FIDO2-authenticator Zet dit op Ja.
    Dan voert u deze actie uit Selecteer Verifiëren met...
    dan kan de gebruiker verifiëren met behulp van Configureer de verificatiemethode die beschikbaar is voor gebruikers voordat u ze toestaat een authenticator te registreren bij hun account.
    Als voorgaande verificatiemethode mislukt of niet toepasselijk is (Optioneel) Configureer alternatieve verificatiemethoden.
    Opmerking: Als u FIDO2-sleutels registreert vanuit de Workspace ONE Access-console, is de registratiebeleidsregel niet vereist.
  4. Klik op OPSLAAN. De pagina Configuratie wordt weergegeven.
  5. Als u de verificatieregel wilt maken, klikt u op Beleidsregel maken.
    Optie Beschrijving
    Als het netwerkbereik van een gebruiker Selecteer het netwerkbereik.
    is en de gebruiker probeert inhoud te openen van Selecteer het apparaattype Alle apparaattypen.
    en de gebruiker behoort tot de groepen Als u deze toegangsregel wilt toepassen op specifieke groepen, zoekt u naar de groepen in het zoekvak.

    Als geen groep is geselecteerd, is het toegangsbeleid van toepassing op alle gebruikers.

    en de gebruiker registreert de FIDO2-authenticator Schakel NEE in.
    Dan voert u deze actie uit Selecteer Verifiëren met.
    dan kan de gebruiker verifiëren met behulp van Selecteer FIDO2.
    Als voorgaande verificatiemethode mislukt of niet toepasselijk is (Optioneel)
  6. Klik op OPSLAAN.
  7. Plaats de FIDO-registratiebeleidsregel boven de FIDO2-verificatiebeleidsregel op de pagina Configuratie zodat gebruikers zich kunnen registreren.
  8. Klik op VOLGENDE en klik vervolgens op OPSLAAN.
    Problemen met geweigerde toegang tijdens het aanmelden oplossen

    Wanneer gebruikers zich aanmelden en een bericht Toegang geweigerd zien, is het toegangsbeleid mogelijk niet goed geconfigureerd.

    • Open in de Workspace ONE Access-console de pagina Bewaken > Rapporten en selecteer het rapport Auditgebeurtenissen.
    • Maak het rapport. Selecteer de gebruikersnaam en selecteer LOGIN_ERROR voor Type.
    • Selecteer Details weergeven.

      Als de logboekvermeldingen in het gebeurtenislogboek "requestParams" : "[fido2Enrollment]", "message" : "Geen overeenkomend beleid gevonden." weergeven, zorg er dan voor dat het beleid voor de registratie van FIDO2-eindgebruikers alle noodzakelijke IP-bereiken omvat. Controleer de instellingen voor ALLE BEREIKEN om er zeker van te zijn dat ALLE BEREIKEN daadwerkelijk alle bereiken is.