常見問題
在已啟用存取控制(Access Control)策略的環境中,新增使用者後可能會因存取控制限制而無法登入。請問需要進行哪些設定?
回答
本說明將介紹在 Access Control 的存取原則啟用環境中,新增使用者時的首次登入方式。
由於新使用者尚未設定裝置憑證或 OTP(一次性密碼),因此可能無法依照現有使用者相同的驗證原則登入。本文將說明僅於首次登入時套用暫時性存取原則,並於完成必要設定後,切換至正式原則的操作方式。
使用首次登入專用的存取原則
本方法說明如何為新使用者建立僅於首次登入時套用的存取原則群組(APG)。使用者於首次登入後設定裝置憑證或 OTP,設定完成後再移轉至正式 APG。
步驟
- 建立專供新使用者使用的暫時性 APG。
[Access Control] 建立 / 編輯存取原則群組 - 於暫時性 APG 僅設定首次登入所需條件。
例如,可設定不要求裝置憑證驗證或 OTP 驗證的條件。 - 建立新使用者,並指派暫時性 APG。
[Access Control] 建立 / 編輯新使用者 - 通知使用者 ID 與密碼,請其進行首次登入。
- 登入後,請使用者自行設定裝置憑證或 OTP。
[Device Certificate] 裝置憑證安裝步驟一覽
[Access Control] 設定於應用程式接收 OTP(一次性密碼)
[Access Control] 設定於郵件接收 OTP(一次性密碼) - 確認裝置憑證及 OTP 設定完成後,將使用者切換至正式 APG。
操作注意事項
- 請僅將暫時性 APG 用於首次登入,設定完成後請將對象使用者移除。
- 切換至正式 APG 後,請務必確認已從暫時性 APG 移除該使用者。
- APG 切換後若仍有既存工作階段,為反映新的驗證條件,請視需要強制登出。
[Access Control] 如何強制使用者登出?
補充說明:使用緊急 OTP 的方法
若僅有 OTP 設定問題時,也可由管理員發行緊急 OTP 供首次登入使用。
使用緊急 OTP 時,請透過郵件以外的安全管道(如聊天或 SMS 等)進行分享。登入後請務必讓使用者自行完成 OTP 設定。
若同時要求裝置憑證驗證,則需於使用緊急 OTP 前,先完成裝置憑證的發放與安裝。
詳細資訊請參考以下說明。
[Access Control] OTP 發行方法與有效期限