策略包含一个或多个访问规则。每个规则都由一些设置组成,您可以配置这些设置以从总体上管理用户对其 Workspace ONE 门户的访问,或管理用户对特定 Web 应用程序和桌面应用程序的访问。
可以配置策略规则以根据条件(例如,网络、设备类型、AirWatch 设备注册和符合状态或访问的应用程序)执行相应的操作,例如,阻止用户、允许用户或递增验证用户身份。
网络范围
对于每个规则,您通过指定网络范围来确定用户群。网络范围由一个或多个 IP 范围组成。在配置访问策略集之前,您可以从“身份和访问管理”选项卡的“设置”>“网络范围”页面创建网络范围。
部署中的每个身份提供程序实例都将网络范围与身份验证方法相关联。当您配置策略规则时,请确保网络范围涵盖在现有的身份提供程序实例中。
您可以配置特定的网络范围,以限制用户可从何处登录和访问其应用程序。
设备类型
选择规则管理的设备类型。客户端类型包括“Web 浏览器”、“Workspace ONE 应用程序”、“iOS”、“Android”、“Windows 10”、“OS X”和“所有设备类型”。
您可以配置规则以指定哪种类型的设备可访问内容,并且来自该类型设备的所有身份验证请求均可使用策略规则。
身份验证方法
在策略规则中,可以设置应用身份验证方法的顺序。身份验证方法将按照它们列出的先后顺序加以应用。满足策略中的身份验证方法和网络范围配置的第一个身份提供程序实例将被选中。用户身份验证请求会被转发到该身份提供程序实例以进行身份验证。如果身份验证失败,则选择列表中的下一个身份验证方法。
您可以配置访问策略规则,以要求用户通过两种身份验证方法传递凭据后才能登录。如果其中一种身份验证方法失败或两种身份验证方法均失败,并且还配置了回退方法,系统会提示用户针对所配置的下一种身份验证方法输入其凭据。以下两种场景介绍了此身份验证链的工作方式。
在第一种场景下,访问策略规则被配置为要求用户使用其密码和 Kerberos 凭据进行身份验证。回退身份验证被设置为要求使用密码和 RADIUS 凭据进行身份验证。用户正确输入了密码,但未能输入正确的 Kerberos 身份验证凭据。由于用户输入了正确的密码,因此回退身份验证请求仅要求输入 RADIUS 凭据。用户不需要重新输入密码。
在第二种场景下,访问策略规则被配置为要求用户使用其密码和 Kerberos 凭据进行身份验证。回退身份验证被设置为要求使用 RSA SecurID 和 RADIUS 凭据进行身份验证。用户正确输入了密码,但未能输入正确的 Kerberos 身份验证凭据。回退身份验证请求将要求同时输入 RSA SecurID 凭据和 RADIUS 凭据以进行身份验证。
要配置需要进行身份验证和设备合规性验证的访问策略规则,必须在内置身份提供程序页面中启用设备与 AirWatch 的合规性。请参阅配置访问策略规则以进行合规性检查。
身份验证会话时长
在每个规则中,您都可以设置此身份验证的有效小时数。在以下时间后重新进行身份验证的值决定了用户自其上次身份验证事件后,可访问其门户或启动特定应用程序的最长时间。例如,如果 Web 应用程序规则中的值为 4,则表示用户将有四个小时可以启动 Web 应用程序,除非他们启动的另一个身份验证事件延长了该时间。
自定义的访问被拒绝错误消息
如果用户尝试登录时由于凭据无效、配置不当或系统错误而失败,系统会显示一条访问被拒绝消息。默认消息是由于未找到有效的身份验证方法,访问遭到拒绝 (Access denied as no valid authentication methods were found)。
您可以为每个访问策略规则创建一条自定义错误消息,以替代默认消息。该自定义消息可以包含文本和一个用于调用操作消息的链接。例如,在针对要管理的移动设备的策略规则中,如果用户尝试从未注册的设备登录,则可以创建以下自定义错误消息:请单击此消息末尾的链接注册您的设备,以便访问公司资源。如果您的设备已经注册,请联系支持部门以获取帮助 (Enroll your device to access corporate resources by clicking the link at the end of this message. If your device is already enrolled, contact support for help)。
默认策略示例
下面的策略示例说明了您可以如何配置默认策略,以控制对应用程序门户和未分配具体策略的 Web 应用程序的访问。
策略规则按照它们在策略中列出的顺序进行评估。您可以通过拖放“策略规则”部分中的规则来更改规则的顺序。
-
对于内部网络,为规则配置两种身份验证方法:Kerberos 和密码身份验证,后者是一种备用的方法。要从内部网络中访问应用程序门户,该服务先尝试使用 Kerberos 身份验证对用户进行身份验证,因为这是在规则中列出的第一种身份验证方法。如果该方法失败,系统将提示用户输入其 Active Directory 密码。用户使用浏览器进行登录,并且当前在八小时的会话时间内有权访问其用户门户。
对于从外部网络(所有范围)进行的访问,仅配置了一种身份验证方法,即,RSA SecurID。要从外部网络访问应用程序门户,用户需要使用 SecurID 登录。用户使用浏览器进行登录,并且当前在四小时的会话时间内有权访问其应用程序门户。
此默认策略适用于所有无特定于应用程序的策略的 Web 应用程序和桌面应用程序。