Você cria regras de política de acesso para especificar os critérios que os usuários devem atender para acessar o Workspace ONE Workspace e seus aplicativos autorizados. Você também pode criar políticas de acesso específicas ao aplicativo com regras para gerenciar o acesso do usuário a aplicativos da Web e de desktop específicos.
Intervalo de rede
Os endereços de rede são atribuídos à regra de política de acesso para gerenciar o acesso do usuário com base em qual endereço IP é usado para fazer logon e acessar aplicativos. Quando o serviço do Workspace ONE Access é configurado no local, você pode configurar intervalos de endereço IP de rede para acesso à rede interna e o acesso à rede externa. Em seguida, você poderá criar diferentes regras com base no intervalo de rede configurado na regra.
Os intervalos de rede são configurados na guia Gerenciamento de Identidade e Acesso, página Gerenciar > Políticas > Intervalos de Rede, antes da configuração das regras de política de acesso.
Cada instância de provedor de identidade na implantação é configurada para vincular intervalos de rede a métodos de autenticação. Ao configurar uma regra de política, garanta que o intervalo de rede selecionado seja coberto por uma instância de provedor de identidade existente.
Tipo de dispositivo
As regras de política de acesso são configuradas para gerenciar o tipo de dispositivo usado para acessar o portal e recursos.
- Todos os Tipos de Dispositivos está configurado em uma regra de política que é usada em todos os casos de acesso.
- O tipo de dispositivo Navegador da Web está configurado em uma regra de política para acessar o conteúdo de qualquer navegador da Web, independentemente do tipo de hardware ou sistema operacional do dispositivo.
- O tipo de dispositivo Aplicativo Workspace ONE ou Hub está configurado em uma regra de política para acessar o conteúdo do aplicativo Workspace ONE ou Workspace ONE Intelligent Hub após fazer login em um dispositivo.
- O tipo de dispositivo iOS está configurado em uma regra de política para acessar o conteúdo dos dispositivos iPhone e iPad.
Em ambientes de tenant na nuvem do Workspace ONE Access, o tipo de dispositivo iOS corresponde aos dispositivos iPhones e iPad, independentemente da opção Request Desktop Sites (Solicitar sites de desktop) nas configurações do Safari estar ativada.
- O tipo de dispositivo macOS está configurado para acessar o conteúdo de dispositivos configurados com macOS.
Para ambientes no local, configure também o tipo de dispositivo macOS para corresponder a dispositivos iPad que tenham a opção Request Desktop Sites nas configurações do Safari ativada.
- (Apenas na nuvem) O tipo de dispositivo iPad está configurado em uma regra de política para acessar o conteúdo de dispositivos iPad configurados com o iPadOS. Essa regra permite identificar um iPad, independentemente da opção Request Desktop Sites nas configurações do Safari estar ativada.
Observação: Quando uma regra de política de acesso é criada para usar o tipo de dispositivo iPad, a regra para dispositivos iPad deve ser listada antes da regra que usa o tipo de dispositivo iOS. Caso contrário, a regra para o tipo de dispositivo iOS será aplicada a dispositivos iPad que solicitam acesso. Isso se aplica a iPads com iPadOS ou iOS anteriores.
- O tipo de dispositivo Android está configurado para acessar conteúdo de dispositivos Android.
- O tipo de dispositivo Windows 10 está configurado para acessar o conteúdo de dispositivos Windows 10.
- O tipo de dispositivo Inscrição do Windows 10. está configurado para acessar conteúdo de dispositivos Windows 10 gerenciados pelo serviço Workspace ONE UEM para acessar aplicativos Web que tenham acesso restrito.
- O tipo de dispositivo Inscrição do Dispositivo está configurado para exigir a inscrição do dispositivo. Essa regra exige que os usuários sejam autenticados no processo de inscrição do Workspace ONE UEM facilitado pelo aplicativo Workspace ONE Intelligent Hub em um dispositivo iOS ou Android.
A ordem em que as regras são listadas na Gerenciamento de Identidade e Acesso > Políticas indica a ordem em que as regras são aplicadas. Quando o tipo de dispositivo corresponde ao método de autenticação, as regras subsequentes são ignoradas. Se o tipo de dispositivo aplicativo do Workspace ONE não for a primeira regra na lista de políticas, os usuários não serão conectados ao aplicativo do Workspace ONE pelo período prolongado.
Adicionar Grupos
Você pode aplicar regras de autenticação diferentes com base na associação ao grupo do usuário. Os grupos podem ser grupos sincronizados a partir do seu diretório corporativo e grupos locais que você criou no console do Workspace ONE Access.
Quando os grupos são atribuídos a uma regra de política de acesso, os usuários são solicitados a inserir seu identificador exclusivo e, em seguida, são solicitados a inserir a autenticação com base na regra de política de acesso. Consulte Experiência de login usando o identificador exclusivo no guia de Administração do Workspace ONE Access. Por padrão, o identificador exclusivo é nome de usuário. Vá à página Gerenciamento de Identidade e Acesso > Instalação > Preferências para ver o valor do identificador exclusivo configurado ou para alterar o identificador.
Ações gerenciadas por regras
Uma regra de política de acesso pode ser configurada para permitir ou negar acesso ao espaço de trabalho e aos recursos. Quando uma política é configurada para fornecer acesso a aplicativos específicos, você também pode especificar a ação para permitir o acesso ao aplicativo sem autenticação adicional. Para que essa ação seja aplicada, o usuário já é autenticado pela política de acesso padrão.
Você pode seletivamente aplicar condições na regra que se aplicam à ação, como quais redes, tipos de dispositivos e grupos incluir e o status de conformidade e inscrição do dispositivo. Quando a ação for negar acesso, os usuários não poderão fazer logon nem iniciar aplicativos a partir do intervalo de rede e do tipo de dispositivo configurado na regra.
Métodos de autenticação
Os métodos de autenticação configurados no serviço do Workspace ONE Access são aplicados às regras de política de acesso. Para cada regra, você seleciona o tipo de métodos de autenticação a ser usado para verificar a identidade dos usuários que fazem login para acessar um aplicativo. Você pode selecionar mais de um método de autenticação em uma regra.
Os métodos de autenticação são aplicados na ordem em que estão listados na regra. A primeira instância do provedor de identidade que atende ao método de autenticação e à configuração de intervalo de rede na regra é selecionada. A solicitação de autenticação do usuário é encaminhada para a instância do provedor de identidade para autenticação. Se a autenticação falhar, é selecionado o próximo método de autenticação na lista.
Você pode configurar o encadeamento de autenticação em uma regra de política de acesso para exigir que os usuários passem as credenciais por mais de um método de autenticação antes que possam fazer logon. Duas condições de autenticação em uma regra são configuradas e o usuário deve responder corretamente a ambas as solicitações de autenticação. Por exemplo, se você definir a autenticação usando a configuração de Senha e VMware Verify, os usuários deverão digitar sua senha e o código de acesso do VMware Verify antes de serem autenticados.
É possível configurar a autenticação de fallback para fornecer aos usuários que não passaram na solicitação de autenticação anterior outra chance de fazer logon. Se um método de autenticação não conseguir autenticar o usuário e os métodos de fallback também estiverem configurados, será solicitado que os usuários insiram suas credenciais para os métodos de autenticação adicionais configurados. Os dois cenários a seguir descrevem como esse fallback pode funcionar.
- No primeiro cenário, a regra de política de acesso está configurada para exigir que os usuários se autentiquem com sua senha e código de acesso do VMware Verify. A autenticação de fallback é configurada para exigir a senha e a credencial do RADIUS para autenticação. Um usuário insere a senha corretamente, mas não consegue inserir o código de acesso correto do VMware Verify. Como o usuário digitou a senha correta, a solicitação de autenticação de fallback destina-se apenas para a credencial do RADIUS. O usuário não precisa digitar novamente a senha.
- No segundo cenário, a regra de política de acesso está configurada para exigir que os usuários se autentiquem com sua senha e código de acesso do VMware Verify. A autenticação de fallback é configurada para exigir o RSA SecurID e o RADIUS para autenticação. Um usuário insere a senha corretamente, mas não consegue inserir o código de acesso correto do VMware Verify. A solicitação de autenticação de fallback destina-se tanto para a credencial RSA SecurID e a credencial RADIUS para autenticação.
Para configurar uma regra de política de acesso que exija autenticação e verificação de conformidade do dispositivo para dispositivos gerenciados pelo Workspace ONE UEM, Conformidade do dispositivo com o AirWatch deve ser habilitada na página do provedor de identidade integrado. Consulte Ativação da verificação de conformidade para dispositivos gerenciados do Workspace ONE UEM no Workspace ONE Access. Os métodos de autenticação do provedor de identidade integrado que podem encadear com a Conformidade do Dispositivo com o AirWatch são SSO móvel (para iOS), SSO móvel (para Android) ou Certificado (implantação em nuvem).
Quando VMware Verify é usado para autenticação de dois fatores, VMware Verify é o segundo método de autenticação na cadeia de autenticação. O VMware Verify deve ser habilitado na página do provedor de identidade integrado. Consulte Configuração do VMware Verify para autenticação de dois fatores no Workspace ONE Access.
Duração da sessão de autenticação
Para cada regra, você define o número de horas de validade dessa autenticação. O valor reautenticar após determina o tempo máximo que os usuários têm desde o último evento de autenticação para acessar o portal ou abrir um aplicativo específico. Por exemplo, o valor 8 em uma regra de aplicativo Web significa que, após a autenticação, os usuários não precisarão se autenticar novamente por 8 horas.
A configuração de regra de política Reautenticação após não controla as sessões de aplicativo. A configuração controla o tempo após o qual os usuários precisam ser autenticados novamente.
Mensagem de Erro de Acesso Negado Personalizada
Quando os usuários tentam fazer logon e não conseguem devido a credenciais inválidas, erros de configuração ou do sistema, aparece uma mensagem de acesso negado. A mensagem padrão é Acesso negado porque não foram encontrados métodos de autenticação válidos.
Você pode criar uma mensagem de erro personalizada que substitui a mensagem padrão para cada regra de política de acesso. A mensagem personalizada pode incluir texto e um link para uma mensagem de chamada para ação. Por exemplo, em uma regra de política para restringir o acesso a dispositivos inscritos, se um usuário tentar fazer logon de um dispositivo não inscrito, você poderá criar a seguinte mensagem de erro personalizada. Inscreva o seu dispositivo para acessar recursos corporativos, clicando no link no final desta mensagem. Se o seu dispositivo já estiver inscrito, entre em contato com o suporte para obter ajuda.