Crie regras de política de acesso que especificam os critérios que devem ser atendidos para se acessar o portal do Workspace ONE e os aplicativos autorizados como um todo. Você também pode criar políticas de acesso específicas ao aplicativo com regras para gerenciar o acesso do usuário a aplicativos da Web e de desktop específicos.
Intervalo de rede
Os endereços de rede são atribuídos à regra de política de acesso para gerenciar o acesso do usuário com base em qual endereço IP é usado para fazer logon e acessar aplicativos. Quando o serviço do VMware Identity Manager é configurado no local, você pode configurar intervalos de endereço IP de rede para acesso à rede interna e o acesso à rede externa. Em seguida, você poderá criar diferentes regras com base no intervalo de rede configurado na regra.
Ao configurar os endereços de rede para o serviço de nuvem do VMware Identity Manager, especifique o endereço público de tenant do VMware Identity Manager usado para acessar a rede interna.
Os intervalos de rede são configurados na guia Gerenciamento de Identidade e Acesso, Gerenciar > Políticas > Intervalos de Rede antes da configuração das regras de política de acesso.
Cada instância de provedor de identidade na implantação é configurado para vincular intervalos de rede a métodos de autenticação. Ao configurar uma regra de política, garanta que o intervalo de rede selecionado seja coberto por uma instância de provedor de identidade existente.
Tipo de dispositivo
As regras de política de acesso são configuradas para gerenciar o tipo de dispositivo usado para acessar o portal e recursos. Os dispositivos que você pode especificar são dispositivos móveis iOS e Android, computadores com os sistemas operacionais Windows 10 ou macOS, Navegador da Web, Aplicativo do Workspace ONE e Todos os Tipos de Dispositivo.
A regra de política com o tipo de dispositivo Aplicativo do Workspace ONE define a política de acesso para a inicialização de aplicativos a partir do aplicativo do Workspace ONE após o logon a partir de um dispositivo. Quando essa regra é a primeira regra na lista de políticas, após autenticação dos usuários, eles podem permanecer conectados ao aplicativo do Workspace ONE e acessar seus recursos por até 90 dias, de acordo com a configuração padrão.
A regra de política com o tipo de dispositivo Navegador da Web define uma política de acesso usando qualquer tipo de navegador da Web, independentemente de sistemas operacionais e tipos de hardware do dispositivo.
A regra de política com o tipo de dispositivo Todos os Tipos de Dispositivo corresponde a todos os casos de acesso.
Quando o Aplicativo do Workspace ONE é usado para acessar aplicativos, os tipos de dispositivo são organizados no conjunto de políticas com o Aplicativo Workspace ONE como a primeira regra, seguida por dispositivos móveis, computadores Windows e macOS, Navegador da Web e Todos os Tipos de Dispositivos por último. A ordem em que as regras são listadas indica a ordem em que as regras serão aplicadas. Quando o tipo de dispositivo corresponde ao método de autenticação, as regras subsequentes são ignoradas. Se o tipo de dispositivo aplicativo Workspace ONE não for a primeira regra na lista de políticas, os usuários não serão conectados ao aplicativo do Workspace ONE para o tempo prolongado. Consulte Aplicação de regras de aplicativo do Workspace ONE às políticas de acesso
Adicionar Grupos
Você pode aplicar regras de autenticação diferentes com base na associação ao grupo do usuário. Os grupos podem ser grupos sincronizados a partir do seu diretório corporativo e grupos locais que você criou no console do VMware Identity Manager.
Quando os grupos são atribuídos a uma regra de política de acesso, os usuários são solicitados a inserir seu identificador exclusivo e, em seguida, são solicitados a inserir a autenticação com base na regra de política de acesso. Consulte Experiência de logon usando-se um identificador exclusivo. Por padrão, o identificador exclusivo é nome de usuário. Vá à página Gerenciamento de Identidade e Acesso > Instalação > Preferências para ver o valor do identificador exclusivo configurado ou para alterar o identificador.
Quando um grupo não é identificado em uma regra, a regra se aplica a todos os usuários. Quando você configura uma política de acesso que inclui uma regra com um grupo e uma regra sem grupo, as regras configuradas com um grupo devem estar listadas antes das regras que não estão configuradas com grupos.
Ações gerenciadas por regras
Uma regra de política de acesso pode ser configurada para permitir ou negar acesso ao espaço de trabalho e aos recursos. Quando uma política é configurada para fornecer acesso a aplicativos específicos, você também pode especificar a ação para permitir o acesso ao aplicativo sem autenticação adicional. Para que essa ação seja aplicada, o usuário já é autenticado pela política de acesso padrão.
Você pode seletivamente aplicar condições na regra que se aplicam à ação, como quais redes, tipos de dispositivos e grupos incluir e o status de conformidade e inscrição do dispositivo. Quando a ação for negar acesso, os usuários não poderão fazer logon nem iniciar aplicativos a partir do intervalo de rede e do tipo de dispositivo configurado na regra.
Métodos de autenticação
Os métodos de autenticação configurados no serviço do VMware Identity Manager são aplicados às regras de política de acesso. Para cada regra, selecione o tipo de métodos de autenticação a ser usado para verificar a identidade de usuários que fazem logon no Workspace ONE ou acessem um aplicativo. Você pode selecionar mais de um método de autenticação em uma regra.
Os métodos de autenticação são aplicados na ordem em que estão listados na regra. A primeira instância do provedor de identidade que atende ao método de autenticação e à configuração de intervalo de rede na regra é selecionada. A solicitação de autenticação do usuário é encaminhada para a instância do provedor de identidade para autenticação. Se a autenticação falhar, é selecionado o próximo método de autenticação na lista.
Você pode configurar o encadeamento de autenticação em uma regra de política de acesso para exigir que os usuários passem as credenciais por mais de um método de autenticação antes que possam fazer logon. Duas condições de autenticação em uma regra são configuradas e o usuário deve responder corretamente a ambas as solicitações de autenticação. Por exemplo, se você definir a autenticação usando a configuração de Senha e VMware Verify, os usuários deverão digitar sua senha e o código de acesso do VMware Verify antes de serem autenticados.
É possível configurar a autenticação de fallback para fornecer aos usuários que não passaram na solicitação de autenticação anterior outra chance de fazer logon. Se um método de autenticação não conseguir autenticar o usuário e os métodos de fallback também estiverem configurados, será solicitado que os usuários insiram suas credenciais para os métodos de autenticação adicionais configurados. Os dois cenários a seguir descrevem como esse fallback pode funcionar.
No primeiro cenário, a regra de política de acesso está configurada para exigir que os usuários se autentiquem com sua senha e código de acesso do VMware Verify. A autenticação de fallback é configurada para exigir a senha e a credencial do RADIUS para autenticação. Um usuário insere a senha corretamente, mas não consegue inserir o código de acesso correto do VMware Verify. Como o usuário digitou a senha correta, a solicitação de autenticação de fallback destina-se apenas para a credencial do RADIUS. O usuário não precisa digitar novamente a senha.
No segundo cenário, a regra de política de acesso está configurada para exigir que os usuários se autentiquem com sua senha e código de acesso do VMware Verify. A autenticação de fallback é configurada para exigir o RSA SecurID e o RADIUS para autenticação. Um usuário insere a senha corretamente, mas não consegue inserir o código de acesso correto do VMware Verify. A solicitação de autenticação de fallback destina-se tanto para a credencial RSA SecurID e a credencial RADIUS para autenticação.
Para configurar uma regra de política de acesso exige autenticação e verificação de conformidade do dispositivo para dispositivos gerenciados pelo Workspace ONE UEM, Conformidade do dispositivo com o AirWatch deve ser habilitada na página do provedor de identidade integrado. Consulte Habilitando a verificação de conformidade para dispositivos gerenciados do Workspace ONE UEM. Os métodos de autenticação do provedor de identidade integrado que podem encadear com a Conformidade do Dispositivo com o AirWatch são SSO móvel (para iOS), SSO móvel (para Android) ou Certificado (implantação em nuvem).
Quando VMware Verify é usado para autenticação de dois fatores, VMware Verify é o segundo método de autenticação na cadeia de autenticação. O VMware Verify deve ser habilitado na página do provedor de identidade integrado. Consulte Configurando o VMware Verify para autenticação de dois fatores.
Duração da sessão de autenticação
Para cada regra, você define o número de horas de validade dessa autenticação. O valor reautenticar após determina o tempo máximo que os usuários têm desde o último evento de autenticação para acessar o portal ou abrir um aplicativo específico. Por exemplo, um valor de 8 em uma regra de aplicativo Web significa que, após a autenticação, os usuários não precisarão se autenticar novamente por 8 horas.
A configuração de regra de política Reautenticação após não controla as sessões de aplicativo. A configuração controla o tempo após o qual os usuários precisam ser autenticados novamente.
Mensagem de Erro de Acesso Negado Personalizada
Quando os usuários tentam fazer logon e não conseguem devido a credenciais inválidas, erros de configuração ou do sistema, aparece uma mensagem de acesso negado. A mensagem padrão é Acesso negado porque não foram encontrados métodos de autenticação válidos.
Você pode criar uma mensagem de erro personalizada que substitui a mensagem padrão para cada regra de política de acesso. A mensagem personalizada pode incluir texto e um link para uma mensagem de chamada para ação. Por exemplo, em uma regra de política para restringir o acesso dispositivos inscritos, se um usuário tentar fazer logon de um dispositivo não inscrito, você poderá criar a seguinte mensagem de erro personalizada. Inscreva o seu dispositivo para acessar recursos corporativos, clicando no link no final desta mensagem. Se o seu dispositivo já estiver inscrito, entre em contato com o suporte para obter ajuda.