В правилах политики доступа можно настроить цепочку проверки подлинности, чтобы пользователи вводили учетные данные в нескольких методах проверки подлинности и только после этого могли входить в систему. В одном правиле настроены два условия проверки подлинности, и пользователь должен правильно ответить на оба запроса проверки подлинности.

При настройке правила политики доступа, требующего использования нескольких методов проверки подлинности для входа в систему, можно настроить соответствующий параметр, чтобы пользователи могли выбирать второй метод проверки подлинности. Благодаря такой гибкости пользователи могут использовать альтернативный метод для входа в систему, когда им не удается получить доступ к одному из методов проверки подлинности, предлагаемых в процессе.

Если в качестве параметра входа в систему выбран метод проверки подлинности с помощью стороннего поставщика удостоверений, на странице входа в систему «Выберите проверку подлинности» пользователя отображается имя метода проверки подлинности, настроенное для экземпляра стороннего поставщика удостоверений в консоли Workspace ONE Access. Описание, написанное для метода проверки подлинности с помощью стороннего поставщика удостоверений, отображается в параметре метода проверки подлинности. См. Добавление и настройка экземпляра стороннего поставщика удостоверений SAML в Workspace ONE Access.

Политика с двумя правилами — пример того, как настроить политику проверки подлинности, чтобы дать пользователям возможность выбора методов проверки подлинности.

  • Правило 1 настраивается для проверки подлинности пользователей из внутренней сети (INTERNAL NETWORK) с использованием метода «Пароль И Verify (Intelligent Hub) ИЛИ RADIUS ИЛИ RSA».
  • Правило 2 настраивается для проверки подлинности пользователей из внешней сети (EXTERNAL NETWORK) с использованием метода «Пароль И Сертификат (облачная среда) ИЛИ Единый вход для мобильных устройств (iOS) ИЛИ Вход OIDC ИЛИ вход fp SAML (английский) / вход fp SAML (испанский) /... ИЛИ Пароль (для Workspace ONE UEM)».
    Снимок экрана с правилом выбора проверки подлинности
На странице входа перечисляются методы входа в систему, и пользователь выбирает необходимый метод.
Экран входа в систему «Выберите проверку подлинности» пользователя

Процедура входа пользователей в систему выглядит, как показано ниже.

  1. Пользователь успешно вводит свои учетные данные для первого запрошенного метода проверки подлинности. Отображается страница Выберите проверку подлинности, на которой можно выбрать второй метод проверки подлинности.
  2. Пользователь выбирает метод проверки подлинности, доступный для используемого устройства.
  3. Выбрав метод проверки подлинности, пользователь вводит свои учетные данные или мгновенно проходит проверку подлинности на основе сертификата. Если выбран неправильный метод, пользователь может нажать кнопку Назад в браузере, чтобы вернуться на страницу «Выберите проверку подлинности». Однако для проверки подлинности на основе сертификата, при которой не отображается запрос на учетные данные, пользователи не могут нажать кнопку Назад, чтобы вернуться на страницу «Выберите проверку подлинности».

Если пользователи входят в систему, используя политику доступа, которая поддерживает несколько методов проверки подлинности, им нужно выбрать предпочтительный для них вариант проверки подлинности. Выбранный вариант не сохраняется.

Необходимые условия

  • Поддерживаемые организацией методы проверки подлинности настраиваются и включаются в Workspace ONE Access.
  • Сетевые диапазоны определенных IP-адресов созданы и назначены поставщикам удостоверений.

Процедура

  1. В консоли Workspace ONE Access на странице Ресурсы > Политики добавьте новую или измените существующую политику.
  2. В разделе Распространяется на выберите приложения, к которым применяется эта политика.
    Если приложения не выбраны, эта политика применяется при входе пользователей на портал Workspace ONE Intelligent Hub.
  3. Щелкните Далее, чтобы открыть страницу Конфигурация.
  4. Щелкните Добавить правило политики.
    Параметр Описание
    Если сетевой диапазон для пользователя составляет Выберите сетевой диапазон.
    и пользователь получает доступ к содержимому из Выберите тип устройства, которым управляет это правило.
    и пользователи принадлежатк группам Выберите группу, к которой применяется это правило.
    Затем выполните следующее действие Выберите Проверка подлинности с помощью...
    затем пользователь может выполнить проверку подлинности с помощью

    Настройте порядок прохождения методов проверки подлинности. Выберите метод проверки подлинности, который будет применяться в первую очередь.

    Чтобы обязать пользователей выбрать второй метод проверки подлинности, щелкните ДОБАВИТЬ ПРОВЕРКУ ПОДЛИННОСТИ, а затем в раскрывающемся меню выберите метод проверки подлинности и нажмите кнопку ДОБАВИТЬ.

    Чтобы предоставить пользователям возможность выбора методов проверки подлинности, в строке ИЛИ выберите другой метод проверки подлинности. Метод добавляется в качестве параметра ИЛИ, который дает пользователям возможность выбирать метод проверки подлинности. Можно добавить несколько вариантов проверки подлинности.
    Если предыдущие методы не выполняются или не применяются, то (Необязательно.) Настройте резервные методы проверки подлинности.
    Выполните повторную проверку подлинности через

    Выберите продолжительность сеанса, после которого пользователи должны снова выполнять проверку подлинности.

  5. (Необязательно.) В разделе Дополнительные свойства создайте настраиваемое сообщение о запрете доступа, которое будет отображаться при ошибке проверки подлинности пользователя. Можно использовать до 4000 символов (около 650 слов). Если нужно отправить пользователей на другую страницу, в текстовом поле URL-адрес для настраиваемого сообщения об ошибке введите URL-адрес ссылки. В текстовом поле Ссылка для настраиваемого сообщения об ошибке введите текст, чтобы описать эту ссылку. Этот текст является ссылкой. Если оставить это текстовое поле пустым, в качестве ссылки отобразится слово «Продолжить».
  6. Последовательно нажмите Далее и Сохранить.

Результаты