In toegangsbeleidsregels kunt u verificatiekoppeling configureren zodat gebruikers hun inloggegevens door meer dan één verificatiemethode moeten laten controleren voordat ze zich kunnen aanmelden. Twee voorwaarden voor verificatie zijn in één regel geconfigureerd en de gebruiker moet correct reageren op beide verificatie-aanvragen.

Wanneer u een toegangsbeleidsregel configureert waarvoor meerdere verificatiemethoden zijn vereist om zich aan te melden, kunt u de optie configureren zodat gebruikers hun tweede verificatiemethode kunnen selecteren. Deze flexibiliteit zorgt ervoor dat gebruikers een alternatieve methode kunnen gebruiken om zich aan te melden, wanneer ze mogelijk geen toegang hebben tot een van de verificatiemethoden die tijdens het proces worden aangeboden.

Wanneer u een verificatiemethode van een externe identiteitsprovider als aanmeldingsoptie selecteert, wordt de naam van de verificatiemethode die u voor de externe identiteitsproviderinstantie heeft geconfigureerd in de Workspace ONE Access-console weergegeven op de aanmeldingspagina Verificatie selecteren van de gebruiker. De beschrijving die u voor de verificatiemethode van derden heeft geschreven, wordt weergegeven onder de optie Verificatiemethode. Zie Een SAML externe identiteitsproviderinstantie toevoegen en configureren in Workspace ONE Access.

Voorbeeld van hoe een verificatiebeleid dat kan worden ingesteld om gebruikers de keuze te geven een verificatiemethode te kiezen, een beleid met twee regels is.

  • Regel 1 is geconfigureerd voor elke gebruiker afkomstig van het INTERNE NETWERK om te verifiëren met Wachtwoord EN Verify (Intelligent Hub) OF RADIUS OF RSA.
  • Regel 2 is geconfigureerd voor elke gebruiker afkomstig van een EXTERN NETWERK om te verifiëren met Wachtwoord EN Certificaat (cloudimplementatie) OF Mobiele SSO (voor iOS) OF OIDC-aanmelding OF fp SAML login (Engels) / fp SAML login (Spaans) /... OF Wachtwoord (met Workspace ONE UEM).
    Schermafbeelding van regel voor verificatiekeuze
Op de aanmeldingspagina worden de aanmeldingsmethoden weergegeven en de gebruiker selecteert de gewenste methode.
Aanmeldingsscherm waarin gebruiker de verificatie selecteert

De aanmeldingservaring van gebruikers is als volgt.

  1. De gebruiker voert zijn inloggegevens in voor de eerste aangevraagde verificatiemethode. Vervolgens wordt de pagina Verificatie selecteren weergegeven om een tweede verificatiemethode te selecteren die moet worden gebruikt.
  2. De gebruiker selecteert de verificatiemethode die beschikbaar is voor het apparaat dat die gebruikt.
  3. Na het selecteren van de verificatiemethode voert de gebruiker de inloggegevens in of wordt die, voor verificatie op basis van certificaten, onmiddellijk geverifieerd. Als een gebruiker de verkeerde methode kiest, kan die op Terug in de browser klikken om terug te gaan naar de pagina Verificatie selecteren. Voor verificatie op basis van certificaten waarbij niet wordt gevraagd om inloggegevens, kunnen gebruikers echter niet op Terug klikken om terug te gaan naar de pagina Verificatie selecteren.

Wanneer gebruikers zich aanmelden met een toegangsbeleid dat meerdere verificatiemethoden biedt, moeten ze de gewenste verificatieoptie kiezen. De geselecteerde optie wordt niet opgeslagen.

Voorwaarden

  • Verificatiemethoden die door uw organisatie worden ondersteund, worden geconfigureerd en ingeschakeld in Workspace ONE Access.
  • Netwerkbereiken van gedefinieerde IP-adressen gemaakt en toegewezen aan de identiteitsproviders.

Procedure

  1. Voeg een beleid toe of bewerk een bestaand beleid op de pagina Resources > Beleidsregels in de Workspace ONE Access-console.
  2. Selecteer in Van toepassing op de applicaties waarop dit beleid van toepassing is.
    Als u geen applicaties selecteert, is dit beleid van toepassing wanneer gebruikers zich aanmelden bij de Workspace ONE Intelligent Hub-portal.
  3. Klik op Volgende om de pagina Configuratie te openen.
  4. Klik op Beleidsregel toevoegen.
    Optie Beschrijving
    Als het netwerkbereik van een gebruiker Selecteer het netwerkbereik.
    is en de gebruiker die toegang tot inhoud krijgt uit Selecteer het apparaattype dat met deze regel wordt beheerd.
    en de gebruiker behoort tot de groepen Selecteer de groep waarop deze regel van toepassing is.
    Dan voert u deze actie uit Selecteer Verifiëren met...
    dan kan de gebruiker verifiëren met behulp van

    Configureer de volgorde van verificatiemethoden. Selecteer de verificatiemethode die eerst moet worden toegepast.

    Als u wilt vereisen dat gebruikers een tweede verificatiemethode selecteren, klikt u op VERIFICATIE TOEVOEGEN, selecteert u in het vervolgkeuzemenu een verificatiemethode en klikt u op TOEVOEGEN.

    Als u gebruikers een keuze wilt geven uit verificatiemethoden, selecteert u op de regel OF een andere verificatiemethode. De methode wordt toegevoegd als OF-optie om gebruikers de optie te geven een verificatiemethode te selecteren. U kunt meerdere verificatieopties toevoegen.
    Als voorgaande verificatiemethode mislukt of niet toepasselijk is (Optioneel) Configureer alternatieve verificatiemethoden.
    Herverifiëren na:

    Selecteer de sessieduur waarna gebruikers zich opnieuw moeten verifiëren.

  5. (Optioneel) Maak in Geavanceerde eigenschappen een aangepast bericht voor geweigerde toegang, dat wordt weergegeven als gebruikersverificatie mislukt. U kunt maximaal 4000 tekens gebruiken. Dit zijn ongeveer 650 woorden. Wanneer u gebruikers naar een andere pagina wilt doorsturen, voert u in het tekstvak URL van link voor aangepaste fout het adres van de koppelings-URL in. Voer in het tekstvak Koppeling aangepaste fout de tekst in die de link voor de aangepaste fout beschrijft. Deze tekst is de koppeling. Wanneer u dit tekstvak leeg laat, wordt het woord Doorgaan weergegeven als link.
  6. Klik op Volgende en vervolgens op Opslaan.

resultaten