Uma política contém uma ou mais regras de acesso. Cada regra consiste em configurações que você pode configurar para gerenciar o acesso do usuário ao portal Workspace ONE como um todo ou a aplicativos Web e desktop específicos.
Uma regra de política pode ser configurada para a tomada de ações como bloquear, permitir ou fazer a autenticação step-up de usuários com base em condições como a rede, o tipo de dispositivo, a inscrição do dispositivo e o status de compatibilidade do AirWatch ou o aplicativo sendo acessado Você pode adicionar grupos a uma política para gerenciar a autenticação de grupos específicos.
Intervalo de rede
Para cada regra, você determina a base de usuários especificando um intervalo de rede. Um intervalo de rede consiste em um ou mais Intervalos de endereços IP. Você cria intervalos de rede a partir da guia Gerenciamento de Identidade e Acesso, Configuração > Intervalos de Rede antes de configurar conjuntos de políticas de acesso.
Cada instância de provedor de identidade na implantação vincula intervalos de rede a métodos de autenticação. Quando você configura uma regra de política, garanta que o intervalo de rede seja coberto por uma instância de provedor de identidade existente.
Você pode configurar intervalos de rede específicos para restringir a partir de onde os usuários podem efetuar login e acessar os aplicativos.
Tipo de dispositivo
Selecione o tipo de dispositivo que a regra gerencia. Os tipos de cliente são navegador da Web, aplicativo do Workspace ONE, iOS, Android, Windows 10, OS X e todos os tipos de dispositivo.
Você pode configurar regras para designar qual tipo de dispositivo pode acessar o conteúdo e configurar que todas as solicitações de autenticação provenientes desse tipo de dispositivo usem a regra de política.
Adicionar Grupos
Você pode aplicar políticas diferentes para autenticação com base na associação de grupo do usuário. Para atribuir grupos de usuários ao logon por meio de um fluxo de autenticação específico, você pode adicionar grupos à regra da política de acesso. Os grupos podem ser grupos sincronizados a partir do seu diretório corporativo e grupos locais que você criou no console de administração. Os nomes de grupo devem ser exclusivos em um domínio.
Para usar grupos nas regras de política de acesso, você seleciona um identificador exclusivo na página Gerenciamento de Identidade e Acesso > Preferências. O atributo de identificador exclusivo deve ser mapeado na página Atributos de Usuário e o atributo selecionado sincronizado com o diretório. O identificador exclusivo pode ser o nome de usuário, o endereço de e-mail, o UPN ou a ID de funcionário. Consulte Experiência de logon usando-se um identificador exclusivo.
Quando os grupos são usados em uma regra de política de acesso, a experiência de logon do usuário para o usuário muda. Em vez de pedir que os usuários selecionem seu domínio e, em seguida, insiram suas credenciais, aparece uma página solicitando-lhes a inserção do identificador exclusivo. O VMware Identity Manager encontra o usuário no banco de dados interno, com base no identificador exclusivo, e exibe a página de autenticação configurada nessa regra.
Quando não há um grupo selecionado, a regra de política de acesso se aplica a todos os usuários. Quando você configura regras de política de acesso que incluem regras baseadas em grupos e uma regra para todos os usuários, verifique se a regra designada para todos os usuários é a última regra listada na seção Regras de Política da política.
Métodos de autenticação
Na regra de política, você define a ordem de aplicação dos métodos de autenticação. Os métodos de autenticação são aplicados na ordem em que estão listados. A primeira instância do provedor de identidade que atende ao método de autenticação e à configuração de intervalo de rede na política é selecionada. A solicitação de autenticação do usuário é encaminhada para a instância do provedor de identidade para autenticação. Se a autenticação falhar, é selecionado o próximo método de autenticação na lista.
Duração da sessão de autenticação
Para cada regra, você define o número de horas de validade dessa autenticação. O valor Reautenticar após determina o tempo máximo que os usuários têm desde o último evento de autenticação para acessar o portal ou iniciar um aplicativo específico. Por exemplo, um valor de 4 em uma regra de aplicativo Web dá aos usuários quatro horas para iniciar o aplicativo Web a menos que eles iniciem outro evento de autenticação que estende o tempo.
Mensagem de Erro de Acesso Negado Personalizada
Quando os usuários tentam fazer login e não conseguem devido a credenciais inválidas, erros de configuração ou do sistema, aparece uma mensagem de acesso negado. A mensagem padrão é Acesso negado porque não foram encontrados métodos de autenticação válidos.
Você pode criar uma mensagem de erro personalizada para cada regra de política de acesso que substitui a mensagem padrão. A mensagem personalizada pode incluir texto e um link para uma mensagem de call to action. Por exemplo, em uma regra de política para dispositivos móveis que você deseja gerenciar, se um usuário tentar fazer login de um dispositivo não inscrito, você poderá criar a seguinte mensagem de erro personalizada. Inscreva o seu dispositivo para acessar recursos corporativos, clicando no link no final desta mensagem. Se o seu dispositivo já estiver inscrito, entre em contato com o suporte para obter ajuda.