В консоли администрирования Okta настройте правила входа в приложения.

Чтобы настроить детализированный доступ к приложению, выборочно примените условия при создании одного или нескольких правил, основанных на следующих критериях.

  • Пользователи и группы, к которым они принадлежат.
  • Работают ли они в сети, автономной режиме или определенной зоне сети.
  • Тип клиента, запущенного на устройстве (только для приложений Office 365).
  • Платформа для мобильных устройств или настольных компьютеров.
  • Являются ли устройства доверенными.

Чтобы обеспечить выполнение условий разрешенного списка для создания правил политики входа, выполните следующие действия.

  1. Создайте одно или несколько строгих правил для поддержки сценариев, разрешающих доступ к приложению, а затем назначьте этим правилам наивысший приоритет.
  2. Создайте правило запрета общего захвата, применяемое к пользователям, которые не соответствуют строгим сценариям, созданным на шаге 1. Присвойте правилу общего захвата самый низкий приоритет (сразу над правилом Okta по умолчанию). В описанном здесь методе для разрешенного списка правило по умолчанию никогда не применяется, поскольку его фактически переопределяет правило запрета общего захвата.

При отключении параметра «Доверие для устройства» следуйте приведенным ниже рекомендациям.

  • Не отключайте параметр «Доверие для устройства» на странице «Безопасность» > «Доверие для устройства», если также настроена политика входа в приложения на странице «Приложения» > «Приложение» > «Политика входа», на которой разрешены доверенные устройства. В противном случае конфигурация доверия для устройства будет находиться в несогласованном состоянии.

    Чтобы отключить параметр «Доверие для устройства» для организации, сначала удалите все политики входа в приложения, содержащие параметр «Доверие для устройства», а затем отключите его на странице «Безопасность» > «Доверие для устройства».

  • Чтобы в Okta отключить решение «Доверие для устройства» для организации (это отличается от параметра «Включить доверие для устройства», включенного на странице «Безопасность» > «Доверие для устройства»), сначала необходимо задать для параметра «Доверие для устройства» значение «Любое» в правилах политики входа в приложения. Если не устанавливать это значение, а потом снова включить в Okta решение «Доверие для устройства» для организации, то параметр «Доверие для устройства» в правилах политики входа в приложения сразу вступит в силу. Это может быть не то, что вам нужно.

Дополнительные сведения о создании правил политики входа см. в разделе https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm.

Необходимые условия

Войдите в консоль администрирования Okta от имени администратора приложения, организации или привилегированного администратора, поскольку только с этими ролями можно настраивать политики входа в приложения.

Процедура

  1. В консоли администрирования Okta щелкните вкладку Приложения, а затем выберите приложение с поддержкой SAML или WS-Federation, для которого необходимо обеспечить защиту с помощью отношения доверия для устройства.
  2. Перейдите на вкладку Вход, прокрутите до раздела Политика входа и щелкните Добавить правило.
  3. Настройте одно или несколько правил, используя пример разрешенного списка в качестве руководства.
    Примечание: По умолчанию в диалоговом окне «Правило входа в приложения» заранее выбраны все параметры раздела «Клиент». В разделе «Доверие для устройства» невозможно выбрать параметры Доверенные и Ненадежные, если в разделе «Клиент» не сняты следующие флажки.
    • Exchange ActiveSync или «Устаревший клиент проверки подлинности»
    • «Другое мобильное устройство» (например, BlackBerry)
    • «Другой настольный компьютер» (например, Linux)

Пример: Пример разрешенного списка

Пользователи с ненадежными устройствами проходят регистрацию Workspace ONE или перенаправляются по адресу, указанному в ссылке для регистрации, которая настроена в Включение параметров доверия для устройства в Okta.

Пример правила 1: Web browser; Modern Auth; iOS и/или Android; Trusted; Allow access + MFA

Пример правила 2: Web browser; Modern Auth; All platforms except iOS и/или Android; Any Trust; Allow access + MFA

Пример правила 3: Web browser; Modern Auth; iOS и/или Android; Not Trusted; Deny access

Правило 4: правило входа по умолчанию — Any client, All platforms; Any Trust; Allow access

Примечание: В этом примере разрешенного списка приведены правила доверия для устройств, позволяющие управлять доступом к Office 365. Обратите внимание, что для других приложений отсутствует раздел Если клиентом пользователя является какой-либо из перечисленных.