Configureer de beleidsregels voor aanmelden bij de app in de Okta-beheerconsole.

Om meer gedetailleerde toegang tot de app te configureren, past u selectief voorwaarden toe terwijl u een of meer geprioritiseerde regels maakt gebaseerd op:

  • Wie gebruikers zijn en de groepen waartoe ze behoren
  • Of ze zich op het netwerk bevinden of zich binnen een gedefinieerde tijdszone bevinden
  • Het type client dat wordt uitgevoerd op hun apparaat (alleen Office 365 apps)
  • Het platform of hun mobiele apparaat of desktop
  • Of hun apparaten wel of niet vertrouwd worden

Voor het opstellen beleidsregels op basis van een whitelist-benadering voor Aanmelden:

  1. Maak een of meer regels voor toegang aan om de scenario's mogelijk te maken waarin toegang wordt gegeven tot de app en geef aan die regels de hoogste prioriteit.
  2. Maak een Deny catch all-regel voor het verbieden van toegang die van toepassing is op gebruikers die niet voldoen aan de scenario's voor toegang die u hebt gemaakt in stap 1. Wijs aan de catchall-regel voor het verbieden van toegang de laagste prioriteit toe, net boven de Standaardregel van Okta. In de whitelist-benadering hierboven beschreven wordt de Standaardregel nooit bereikt omdat de catchall-regel voor het verbieden van toegang dan al is bereikt.

Als u Apparaatvertrouwen uitschakelt, volg dan de volgende stappen:

  • Schakel de instelling Apparaatvertrouwen niet uit op de pagina Beveiliging > Apparaatvertrouwen als u ook een aanmeldingsbeleid hebt geconfigureerd op de pagina Applicaties > app > Aanmeldingsbeleid die vertrouwde apparaten toestaat. Anders komt uw configuratie voor Apparaatvertrouwen in een inconsistente staat terecht.

    Om Apparaatvertrouwen voor uw org uit te schakelen, verwijdert u eerst alle aanmeldingsbeleid die een instelling voor Apparaatvertrouwen bevatten en dan schakelt u Apparaatvertrouwen uit op de pagina Beveiliging > Apparaatvertrouwen.

  • Als u Okta vraagt om de oplossing voor Apparaatvertrouwen uit te schakelen voor uw org (die gescheiden is van de instelling Apparaatvertrouwen inschakelen die u hebt ingeschakeld op de pagina Beveiliging > Apparaatvertrouwen), zorg er dan eerst voor dat u de instelling Apparaatvertrouwen in de Beleidsregels voor aanmelden bij de app wijzigt naar Alle. Als u deze wijziging niet doorvoert en later Okta de oplossing voor Apparaatvertrouwen voor uw org opnieuw laat inschakelen, zal de instelling Apparaatvertrouwen in de Beleidsregels voor aanmelden bij de app onmiddelijk worden geactiveerd, wat u misschien niet verwacht.

Zie https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm voor meer informatie over het maken van beleidsregels voor aanmelden.

Voorwaarden

Meld u aan bij de Okta-beheerconsole als een App, Org of Superbeheerder, want alleen deze rollen kunnen het beleid voor aanmelden bij de app configureren.

Procedure

  1. Klik in de Okta-beheerconsole op het tabblad Applicaties (Applications) en klik vervolgens op de SAML- of WS-Fed-ingeschakelde app die u wilt beschermen met Apparaatvertrouwen.
  2. Klik op het tabblad Aanmelden (Sign On), scrol naar beneden naar het gedeelte Aanmeldingsbeleid (Sign On Policy) en klik op Regels toevoegen (Add Rule).
  3. Configureer een of meer regels, waarbij u de whitelist als voorbeeld gebruikt.
    Opmerking: Standaard worden alle Client-opties in het dialoogvenster Beleidsregels voor aanmelden bij de app geselecteerd. U kunt de opties Vertrouwd (Trusted) en Onvertrouwd (Not trusted) in het gedeelte Apparaatvertrouwen niet selecteren, behalve als u de volgende opties in het onderdeel Client deselecteert:
    • Exchange ActiveSync- of Legacy Auth-client
    • Ander mobiel apparaat (bijv. BlackBerry) (Other mobile (e.g. BlackBerry))
    • Andere desktop (bijv. Linux) (Other desktop (e.g. Linux))

Voorbeeld: Whitelist ter voorbeeld

Gebruikers met onvertrouwde apparaten worden door de inschrijving van Workspace ONE geleid of verwezen naar de link voor inschrijving zoals geconfigureerd in stap Instellingen voor Apparaatvertrouwen inschakelen in Okta.

Voorbeeldregel 1: webbrowser, moderne Auth, iOS en/of Android, Vertrouwd, Toegang toestaan + MFA

Voorbeeldregel 2: webbrowser, moderne Auth, alle platformen behalve iOS en/of Android, Ieder vertrouwensniveau, Toegang toestaan + MFA

Voorbeeldregel 3: webbrowser, moderne Auth, iOS en/of Android, Onvertrouwd, Toegang weigeren

Regel 4: standaard aanmeldingsregel – Iedere client, alle platformen, ieder vertrouwensniveau, toegang toestaan

Opmerking: Deze whitelist ter voorbeeld toont regels voor Apparaatvertrouwen om toegang tot Office 365 te beheren. Voor andere apps wordt het gedeelte Als de gebruiker een van deze clients heeft (If the user's client is any of these) niet weergegeven.