В службе Workspace ONE Access в политике доступа по умолчанию создается два правила политики для FIDO2: правило регистрации и правило проверки подлинности.
Необходимые условия
Проверка подлинности FIDO2 включена и настроена в службе Workspace ONE Access. См. Настройка проверки подлинности FIDO2 без пароля в Workspace ONE Access (только для облачной версии)
Процедура
- В консоли Workspace ONE Access на странице Ресурсы > Политики щелкните ИЗМЕНИТЬ ПОЛИТИКУ ПО УМОЛЧАНИЮ.
- Щелкните Далее, чтобы открыть страницу «Конфигурация».
- Чтобы создать правило регистрации, щелкните Добавить правило политики.
Параметр Описание Если сетевой диапазон для пользователя составляет Выберите сетевой диапазон. Убедитесь, что выбранные сетевые диапазоны охватывают все IP-адреса конечных пользователей, которые используются для регистрации FIDO2.Примечание: Если вы выберете «ВСЕ ДИАПАЗОНЫ», убедитесь, что заданные IP-адреса включают все возможные диапазоны IP-адресов конечных пользователей.и пользователи получают доступ к содержимому из Выберите тип устройства Все типы устройств. и пользователи принадлежатк группам Если это правило доступа применяется к определенным группам, выберите группы в поле поиска. Если группа не указана, правило политики доступа применяется ко всем пользователям.
и пользователь регистрирует средство проверки подлинности FIDO2 Выберите для этого параметра значение Да. Затем выполните следующее действие Выберите Проверка подлинности с помощью... затем пользователь может выполнить проверку подлинности с помощью Настройте метод проверки подлинности, доступный для пользователей, прежде чем разрешить им регистрировать средство проверки подлинности для своей учетной записи. Если предыдущие методы не выполняются или не применяются, то (Необязательно.) Настройте резервные методы проверки подлинности. Примечание: При регистрации ключей FIDO2 в консоли Workspace ONE Access правило политики регистрации не требуется. - Нажмите кнопку СОХРАНИТЬ. Отобразится страница «Настройка».
- Чтобы создать правило проверки подлинности, щелкните Добавить правило политики.
Параметр Описание Если сетевой диапазон для пользователя составляет Выберите сетевой диапазон. и пользователи получают доступ к содержимому из Выберите тип устройства Все типы устройств. и пользователи принадлежатк группам Если это правило доступа применяется к определенным группам, выберите группы в поле поиска. Если группа не указана, правило политики доступа применяется ко всем пользователям.
и пользователь регистрирует средство проверки подлинности FIDO2 Переключитесь на НЕТ. Затем выполните следующее действие Выберите Аутентификация с помощью. затем пользователь может выполнить проверку подлинности с помощью Выберите FIDO2. Если предыдущие методы не выполняются или не применяются, то (необязательно) - Нажмите кнопку СОХРАНИТЬ.
- На странице «Конфигурация» переместите правило политики регистрации FIDO над правилом политики проверки подлинности FIDO2, чтобы позволить пользователям регистрироваться.
- Щелкните ДАЛЕЕ, а затем — СОХРАНИТЬ.
Устранение проблемы с отказом в доступе при входе в систему
Если пользователи входят в систему и получают сообщение Доступ запрещен, то политика доступа может быть настроена неправильно.
- В консоли Workspace ONE Access откройте страницу Мониторинг > Отчеты и выберите отчет События аудита.
- Создайте отчет. Выберите имя пользователя и укажите значение LOGIN_ERROR для параметра Тип.
- Выберите Просмотреть сведения.
В журнале событий, если в записях журнала отображается «"requestParams" : "[fido2Enrollment]", "message" : "Соответствующая политика не найдена."», убедитесь, что правило политики регистрации конечных пользователей FIDO2 содержит все необходимые диапазоны IP-адресов. Просмотрите настройки параметра «ВСЕ ДИАПАЗОНЫ» и убедитесь в том, что параметр «ВСЕ ДИАПАЗОНЫ» на самом деле включает все диапазоны.