您可以在 Workspace ONE Access 服務的預設存取原則中為 FIDO2 建立兩個原則規則:登錄規則和驗證規則。
必要條件
已在 Workspace ONE Access 服務中啟用並設定了 FIDO2 驗證。請參閱如何在 Workspace ONE Access 中設定 FIDO2 無密碼驗證 (僅限雲端)
程序
- 在 Workspace ONE Access 主控台的資源 > 原則頁面中,選取編輯預設原則。
- 按下一步以開啟 [組態] 頁面。
- 若要建立登錄規則,請按一下新增原則規則。
選項 說明 如果使用者的網路範圍為 選取網路範圍。 請確定您選取的網路範圍,涵蓋了用於 FIDO2 登錄的所有使用者 IP 位址。備註: 如果您選取 [所有範圍],請驗證所定義的 IP 位址是否已納入所有可能的使用者用戶端 IP 範圍。且使用者正在存取來自下列裝置的內容 選取裝置類型所有裝置類型。 且使用者屬於群組 如果此存取規則將套用至特定群組,請在搜尋方塊中搜尋群組。 若未選取任何群組,則存取原則規則會套用至所有使用者。
且使用者正在登錄 FIDO2 驗證器 選取是以啟用此選項。 則執行此動作 選取使用下列方法進行驗證.... 則使用者可使用下列方法進行驗證 設定在允許使用者將驗證器登錄至其帳戶之前,提供給使用者的驗證方法。 如果前述方法失敗或不適用,則 (選用) 設定後援驗證方法。 備註: 如果您是從 Workspace ONE Access 主控台來登錄 FIDO2 金鑰,則不需要登錄原則規則。 - 按一下儲存。[組態] 頁面隨即顯示。
- 若要建立驗證規則,請按一下原則規則。
選項 說明 如果使用者的網路範圍為 選取網路範圍。 且使用者正在存取來自下列裝置的內容 選取裝置類型所有裝置類型。 且使用者屬於群組 如果此存取規則將套用至特定群組,請在搜尋方塊中搜尋群組。 若未選取任何群組,則存取原則規則會套用至所有使用者。
且使用者正在登錄 FIDO2 驗證器 切換至否。 則執行此動作 選取使用下列方法進行驗證。 則使用者可使用下列方法進行驗證 選取 FIDO2。 如果前述方法失敗或不適用,則 (選用) - 按一下儲存。
- 在 [組態] 頁面中,將 FIDO 登錄原則規則移到 FIDO2 驗證原則規則上方,以允許使用者登錄。
- 按下一步,然後按一下儲存。
疑難排解登入時所遇到的「存取遭拒」問題
當使用者登入並收到存取遭拒訊息時,可能是存取原則設定不正確。
- 在 Workspace ONE Access 主控台中,開啟監控 > 報告頁面,然後選取稽核事件報告。
- 建立報告。選取使用者名稱:對於類型,選取 LOGIN_ERROR。
- 選取檢視詳細資料。
在事件記錄中,如果記錄項目顯示 "requestParams" : "[fido2Enrollment]", "message" : "No matching policy found.",請確定 FIDO2 使用者登錄原則規則已納入所有必要的 IP 範圍。檢閱 [所有範圍] 設定,以確定 [所有範圍] 確實包含所有範圍。
