您可以在 Workspace ONE Access 服務的預設存取原則中為 FIDO2 建立兩個原則規則:登錄規則和驗證規則。

必要條件

已在 Workspace ONE Access 服務中啟用並設定了 FIDO2 驗證。請參閱如何在 Workspace ONE Access 中設定 FIDO2 無密碼驗證 (僅限雲端)

程序

  1. Workspace ONE Access 主控台的資源 > 原則頁面中,選取編輯預設原則
  2. 下一步以開啟 [組態] 頁面。
  3. 若要建立登錄規則,請按一下新增原則規則
    選項 說明
    如果使用者的網路範圍為 選取網路範圍。
    請確定您選取的網路範圍,涵蓋了用於 FIDO2 登錄的所有使用者 IP 位址。
    備註: 如果您選取 [所有範圍],請驗證所定義的 IP 位址是否已納入所有可能的使用者用戶端 IP 範圍。
    且使用者正在存取來自下列裝置的內容 選取裝置類型所有裝置類型
    且使用者屬於群組 如果此存取規則將套用至特定群組,請在搜尋方塊中搜尋群組。

    若未選取任何群組,則存取原則規則會套用至所有使用者。

    且使用者正在登錄 FIDO2 驗證器 選取以啟用此選項。
    則執行此動作 選取使用下列方法進行驗證....
    則使用者可使用下列方法進行驗證 設定在允許使用者將驗證器登錄至其帳戶之前,提供給使用者的驗證方法。
    如果前述方法失敗或不適用,則 (選用) 設定後援驗證方法。
    備註: 如果您是從 Workspace ONE Access 主控台來登錄 FIDO2 金鑰,則不需要登錄原則規則。
  4. 按一下儲存。[組態] 頁面隨即顯示。
  5. 若要建立驗證規則,請按一下原則規則
    選項 說明
    如果使用者的網路範圍為 選取網路範圍。
    且使用者正在存取來自下列裝置的內容 選取裝置類型所有裝置類型
    且使用者屬於群組 如果此存取規則將套用至特定群組,請在搜尋方塊中搜尋群組。

    若未選取任何群組,則存取原則規則會套用至所有使用者。

    且使用者正在登錄 FIDO2 驗證器 切換至
    則執行此動作 選取使用下列方法進行驗證
    則使用者可使用下列方法進行驗證 選取 FIDO2
    如果前述方法失敗或不適用,則 (選用)
  6. 按一下儲存
  7. 在 [組態] 頁面中,將 FIDO 登錄原則規則移到 FIDO2 驗證原則規則上方,以允許使用者登錄。
  8. 下一步,然後按一下儲存
    疑難排解登入時所遇到的「存取遭拒」問題

    當使用者登入並收到存取遭拒訊息時,可能是存取原則設定不正確。

    • 在 Workspace ONE Access 主控台中,開啟監控 > 報告頁面,然後選取稽核事件報告。
    • 建立報告。選取使用者名稱:對於類型,選取 LOGIN_ERROR
    • 選取檢視詳細資料

      在事件記錄中,如果記錄項目顯示 "requestParams" : "[fido2Enrollment]", "message" : "No matching policy found.",請確定 FIDO2 使用者登錄原則規則已納入所有必要的 IP 範圍。檢閱 [所有範圍] 設定,以確定 [所有範圍] 確實包含所有範圍。