在 Okta 管理主控台中設定應用程式登入原則規則。

若要設定精細的應用程式存取,請在建立一或多個優先規則時,根據下列事項選擇性地套用條件:

  • 使用者是誰及其所屬的群組為何
  • 他們是否連線到網路或在已定義的網路區域中
  • 執行於其裝置的用戶端類型 (僅限 Office 365 應用程式)
  • 其行動或桌面平台裝置的平台
  • 其裝置是否受信任

若要依照白名單方法建立登入原則規則:

  1. 建立一或多個允許規則以支援將允許存取應用程式的案例,然後為這些規則指派最高優先順序。
  2. 建立「拒絕全部擷取」規則,以套用至與您在步驟 1 中建立的允許案例不符的使用者。為「拒絕全部擷取」規則指派最低優先順序,僅高於 Okta 的預設規則。在此處說明的白名單方法中一律不會用到預設規則,因為「拒絕全部擷取」規則會使其失去效用。

如果您停用裝置信任,請遵循下列準則:

  • 如果您也已在 [應用程式] > [應用程式] > [登入原則] 頁面上設定了允許信任裝置的應用程式登入原則,請勿在 [安全性] > [裝置信任] 頁面上停用裝置信任設定。若加以停用,您的裝置信任組態將處於不一致的狀態。

    若要為您的組織停用裝置信任,請先移除任何包含裝置信任設定的應用程式登入原則,然後在 [安全性] > [裝置信任] 頁面上停用裝置信任。

  • 如果您要求 Okta 為您的組織停用裝置信任解決方案 (這與您在 [安全性] > [裝置信任] 頁面上啟用的啟用裝置信任設定是不同的設定),請務必先將應用程式登入原則規則中的裝置信任設定變更為 [任何]。如果您未進行此變更,就讓 Okta 為您的組織重新啟用裝置信任解決方案,應用程式登入原則規則中的裝置信任設定將立即生效,而與您預期的行為不同。

如需有關建立登入原則規則的其他資訊,請參閱 https://help.okta.com/en/prod/Content/Topics/Security/App_Based_Signon.htm

必要條件

以應用程式、組織或超級管理員的身分登入 Okta 管理主控台,因為只有這些角色才可設定應用程式登入原則。

程序

  1. 在 Okta 管理主控台中按一下應用程式 (Applications)索引標籤,然後按一下已啟用 SAML 或 WS-Fed、且要受到「裝置信任」保護的應用程式。
  2. 按一下登入 (Sign On)索引標籤,向下捲動至登入原則 (Sign On Policy)區段,然後按一下新增規則 (Add Rule)
  3. 以範例白名單作為指引,設定一或多個規則。
    備註: 依預設會顯示 [應用程式登入規則] 對話方塊中的所有 [用戶端] 選項。除非您取消選取了 [用戶端] 區段中的下列選項,否則將無法選取 [裝置信任] 區段中的 受信任 (Trusted)不受信任 (Not trusted)選項:
    • Exchange ActiveSync 或舊版驗證用戶端 (Exchange ActiveSync or Legacy Auth client)
    • 其他行動裝置 (例如 BlackBerry) (Other mobile (e.g. BlackBerry)
    • 其他桌面平台 (例如 Linux) (Other desktop (e.g. Linux))

範例: 範例白名單

系統會引導裝置不受信任的使用者進行 Workspace ONE 註冊,或將其重新導向至 在 Okta 中啟用裝置信任設定 中設定之 [註冊] 連結的目的地。

範例規則 1:Web 瀏覽器、新式驗證、iOS 和/或 Android、受信任、允許存取 + MFA

範例規則 2:Web 瀏覽器、新式驗證、iOS 和/或 Android 以外的所有平台、任何信任、允許存取 + MFA

範例規則 3:Web 瀏覽器、新式驗證、iOS 和/或 Android、不受信任、拒絕存取

規則 4:預設登入規則 – 任何用戶端、所有平台、任何信任、允許存取

備註: 此白名單範例說明用來對 Office 365 的存取進行管理的裝置信任規則。對於其他應用程式,請注意 如果使用者的用戶端是其中任何一項 (If the user's client is any of these)章節不存在。