В службе Workspace ONE Access можно создать политику доступа с правилами, которые позволяют пользователям перейти к следующему правилу в случае ошибки проверки подлинности в текущем правиле. Обычно выполнение политики доступа завершается после выполнения условий в первом подходящем правиле.

Этот параметр прогрессии правил политики обеспечивает переход к следующему подходящему правилу в политике с помощью оценки правила, если проверка подлинности завершается ошибкой на текущем правиле. Если включить параметр перехода к следующему правилу, каждое из правил прогрессии можно настроить с помощью условий, включающих сетевые диапазоны, тип устройства и членство в группах для разных наборов пользователей.

Например, если необходимо разрешить штатным сотрудникам использовать в качестве метода проверки подлинности сертификат (облачная среда), а сотрудникам, работающим по договору о найме, использовать в качестве метода проверки подлинности пароль, то можно включить параметр прогрессии правил В случае сбоя проверки подлинности перейдите к следующему правилу в политике доступа по умолчанию. Создается правило на основе групп, в котором метод проверки подлинности «Сертификат (облачная среда)» используется в качестве для штатных сотрудников, а другое правило на основе группы с методом проверки подлинности «Пароль» — для сотрудников, работающих по договору о найме.

Ниже приведен пример конфигурации политики доступа.

Конфигурация правила 1:
  • Для сетевого диапазона указано ВСЕ СЕТИ.
  • Пользователи могут получить доступ к содержимому с любых устройств.
  • Пользователи относятся к группе Все пользователи.
  • Метод проверки подлинности — Сертификат (облачная среда).
  • Переключатель возле параметра «В случае сбоя проверки подлинности перейдите к следующему правилу» включен.

Когда какие-либо пользователи пытаются войти в систему, им предоставляется первое правило. Пользователи, которые используют метод «Сертификат (облачная среда)», проходят проверку подлинности. Пользователям, которые не используют метод «Сертификат (облачная среда)», предоставляется второе правило.

Конфигурация правила 2:
  • Для сетевого диапазона указано ВСЕ СЕТИ.
  • Пользователи могут получить доступ к содержимому с любых устройств.
  • Пользователи относятся к группе Работники по договору.
  • Метод проверки подлинности — Пароль (облачная среда).
  • Переключатель возле параметра «В случае сбоя проверки подлинности перейдите к следующему правилу» деактивирован.

Когда сотрудникам, работающим по договору о найме, предоставляется второе правило, им предлагается ввести пароль. Они проходят проверку подлинности после ввода правильного пароля. Поскольку параметр В случае сбоя проверки подлинности перейдите к следующему правилу деактивирован, при отказе в доступе пользователю не предоставляются другие правила.

Для каждого создаваемого правила политики можно создать пользовательское сообщение об ошибке «Доступ запрещен», которое будет отображаться, если пользователю не удается войти в систему из-за недействительных учетных данных. Если настроить настраиваемое сообщение об ошибке при включенном параметре В случае сбоя проверки подлинности перейдите к следующему правилу, это настраиваемое сообщение об ошибке и ссылки, настроенные в первом правиле, будут выполняться для последующих правил, если для последних не настроить новое настраиваемое сообщение об ошибке.

Процедура

  1. В консоли Workspace ONE Access на странице Ресурсы > Политики добавьте новую или измените существующую политику.
  2. В разделе Распространяется на выберите приложения, к которым применяется эта политика.
    Если приложения не выбраны, эта политика применяется при входе пользователей на портал Workspace ONE Intelligent Hub.
  3. Щелкните Далее, чтобы открыть страницу Конфигурация.
  4. Выберите имя правила, которое нужно изменить, или добавьте правило политики, выбрав Добавить правило политики.
    Параметр Описание
    Если сетевой диапазон для пользователя составляет Убедитесь в правильности сетевого диапазона, при добавлении правила выберите сетевой диапазон.
    и пользователь получает доступ к содержимому из Выберите тип устройства, которым управляет это правило.
    и пользователи принадлежатк группам Выберите группу, к которой применяется это правило.
    Затем выполните следующее действие Выберите Проверка подлинности с помощью...
    затем пользователь может выполнить проверку подлинности с помощью Выберите первый используемый метод проверки подлинности. Пример: «Сертификат (облачная среда)».
    Если предыдущие методы не выполняются или не применяются, то (Необязательно.) Настройте резервные методы проверки подлинности.
    В случае сбоя проверки подлинности перейдите к следующему правилу Чтобы настроить это правило для перехода к следующему правилу в политике при ошибке проверки подлинности, включите данный параметр.
    Выполните повторную проверку подлинности через Выберите продолжительность сеанса, после которого пользователи должны снова выполнять проверку подлинности.

    Если параметр В случае сбоя проверки подлинности перейдите к следующему правилу включен, повторная проверка подлинности определяется на основе последнего выполненного правила.
  5. (Необязательно.) Если в разделе Дополнительные свойства включен параметр В случае сбоя проверки подлинности перейдите к следующему правилу, можно создать настраиваемое сообщение об ошибке доступа, которое отображается при сбое проверки подлинности пользователя и объясняет переход к следующему правилу. Настраиваемое сообщение об ошибке и ссылки, настроенные в первом правиле, будут выполняться для последующих правил, если для последних не настроить новое настраиваемое сообщение об ошибке.
  6. Последовательно нажмите Далее и Сохранить.
  7. Нажмите ДОБАВИТЬ ПРАВИЛО ПОЛИТИКИ и продолжите настраивать правила для перехода к другому правилу при ошибке проверки подлинности.
  8. После настройки последнего правила в политике деактивируйте параметр В случае сбоя проверки подлинности перейдите к следующему правилу.