В консоли администрирования Okta настройте правила входа в приложения.

Чтобы настроить детализированный доступ к приложению, выборочно примените условия при создании одного или нескольких правил, основанных на следующих критериях.

  • Пользователи и группы, к которым они принадлежат.
  • Работают ли они в сети, автономной режиме или определенной зоне сети.
  • Тип клиента, запущенного на устройстве (только для приложений Office 365).
  • Платформа для мобильных устройств или настольных компьютеров.
  • Являются ли устройства доверенными.

Чтобы обеспечить выполнение условий белого списка для создания правил политики входа, выполните следующие действия.

  1. Создайте одно или несколько строгих правил для поддержки сценариев, разрешающих доступ к приложению, а затем назначьте этим правилам наивысший приоритет.
  2. Создайте правило запрета общего захвата, применяемое к пользователям, которые не соответствуют строгим сценариям, созданным на шаге 1. Присвойте правилу общего захвата самый низкий приоритет (сразу над правилом Okta по умолчанию). В описанном здесь методе для белого списка правило по умолчанию никогда не применяется, поскольку его фактически переопределяет правило запрета общего захвата.

При отключении параметра «Доверие для устройства» следуйте приведенным ниже рекомендациям.

  • Не отключайте параметр «Доверие для устройства» на странице «Безопасность» > «Доверие для устройства», если также настроена политика входа в приложения на странице «Приложения» > «Приложение» > «Политика входа», на которой разрешены доверенные устройства. В противном случае конфигурация доверия для устройства будет находиться в несогласованном состоянии.

    Чтобы отключить параметр «Доверие для устройства» для организации, сначала удалите все политики входа в приложения, содержащие параметр «Доверие для устройства», а затем отключите его на странице «Безопасность» > «Доверие для устройства».

  • Чтобы в Okta отключить решение «Доверие для устройства» для организации (это отличается от параметра «Включить доверие для устройства», включенного на странице «Безопасность» > «Доверие для устройства»), сначала необходимо задать для параметра «Доверие для устройства» значение «Любое» в правилах политики входа в приложения. Если не устанавливать это значение, а потом снова включить в Okta решение «Доверие для устройства» для организации, то параметр «Доверие для устройства» в правилах политики входа в приложения сразу вступит в силу. Это может быть не то, что вам нужно.

Дополнительные сведения о создании правил политики входа см. в разделе https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm.

Необходимые условия

Войдите в консоль администрирования Okta от имени администратора приложения, организации или привилегированного администратора, поскольку только с этими ролями можно настраивать политики входа в приложения.

Процедура

  1. В консоли администрирования Okta щелкните вкладку Приложения (Applications), а затем выберите приложение с поддержкой SAML или WS-Federation, для которого необходимо обеспечить защиту с помощью отношения доверия для устройства.
  2. Перейдите на вкладку Вход (Sign On), прокрутите до раздела Политика входа (Sign On Policy) и щелкните Добавить правило (Add Rule).
  3. Настройте одно или несколько правил, используя пример белого списка в качестве руководства.
    Примечание: По умолчанию в диалоговом окне «Правило входа в приложения» заранее выбраны все параметры раздела «Клиент». В разделе «Доверие для устройства» невозможно выбрать параметры Доверенные (Trusted) и Ненадежные (Not trusted), если в разделе «Клиент» не сняты следующие флажки.
    • Exchange ActiveSync или «Устаревший клиент проверки подлинности» (Exchange ActiveSync- of Legacy Auth-client)
    • «Другое мобильное устройство» (например, BlackBerry) (Other mobile (e.g. BlackBerry))
    • «Другой настольный компьютер» (например, Linux) (Other desktop (e.g. Linux))

Пример: Пример белого списка

Пользователи с ненадежными устройствами проходят регистрацию Workspace ONE или перенаправляются по адресу, указанному в ссылке для регистрации, которая настроена в Включение параметров доверия для устройства в Okta.

Пример правила 1: Web browser; Modern Auth; iOS и/или Android; Trusted; Allow access + MFA

Пример правила 2: Web browser; Modern Auth; All platforms except iOS и/или Android; Any Trust; Allow access + MFA

Пример правила 3: Web browser; Modern Auth; iOS и/или Android; Not Trusted; Deny access

Правило 4: правило входа по умолчанию — Any client, All platforms; Any Trust; Allow access

Примечание: В этом примере белого списка приведены правила доверия для устройств, позволяющие управлять доступом к Office 365. Обратите внимание, что для других приложений отсутствует раздел Если клиентом пользователя является какой-либо из перечисленных (If the user's client is any of these).