为了在用户从 Workspace ONE 应用程序中访问资源时获得单点登录体验,默认访问策略配置了针对您的环境中使用的每种设备类型(Android、iOS、MacOS 或 Windows 10)的规则。

在此默认访问策略配置示例中,创建的默认访问策略具有的规则涵盖从所有网络范围登录的用户。对于受管访问,将为设备和 Workspace ONE 应用程序规则配置 AirWatch 设备合规性。创建了以下规则。

  • 针对可用于访问 Intelligent Hub 应用程序的每种类型的移动设备的规则。
  • 针对用户从 Workspace ONE 应用程序设备类型中访问 Intelligent Hub 应用程序的规则。在该规则中配置了支持的所有设备的所有身份验证方法。设备合规性身份验证方法适用于支持从管理的设备中进行的访问。
  • 针对用户从“Web 浏览器”设备类型通过任何 Web 浏览器访问 Workspace ONE 的规则。
  • 针对未管理的设备上的用户访问资源的规则。

当用户使用其中一种设备登录到 Workspace ONE 应用程序时,会根据为这种设备类型配置的身份验证方法对用户进行身份验证。用户成功通过身份验证后,当他们从 Intelligent Hub 应用程序屏幕启动其他资源时,将会识别该身份验证方法,并且不会提示用户重新进行身份验证。

如果无法识别用于在 Workspace ONE 中进行身份验证的身份验证方法,在用户从 Intelligent Hub 应用程序中启动资源时,将提示用户根据 Workspace ONE 应用程序规则进行身份验证。

用于 Workspace ONE 的访问策略规则条件示例

为获得最佳用户体验,需在默认访问策略中将设备类型“Workspace ONE 应用程序”列为第一个规则。当该规则为第一个规则时,用户将会登录到该应用程序,并且在会话过期之前可以启动资源而无需重新进行身份验证。

1. 为可用于访问 Workspace ONE 的每种设备创建规则。此示例显示的是允许从设备类型“iOS”进行访问的规则。

  • 网络范围为所有范围
  • 用户可以从 iOS 访问内容。
  • 没有将任何组添加到策略规则。支持所有用户
  • 配置所有受支持的身份验证方法。
    • 使用移动 SSO (适用于 iOS)设备合规性 (与 AirWatch) 进行身份验证。
    • 回退方法 1:密码 (云部署)
  • 会话在 8 小时后重新进行身份验证。

2. 为设备类型“Workspace ONE 应用程序”创建规则。必须在该规则中包含在步骤 1 中为设备配置的每种身份验证方法。

  • 网络范围为所有范围
  • 用户可以从 Workspace ONE 应用程序访问内容。
  • 没有将任何组添加到策略规则。支持所有用户
  • 配置所有受支持的身份验证方法。
    • 使用移动 SSO (适用于 iOS)设备合规性 (与 AirWatch) 进行身份验证。
    • 回退方法 1:移动 SSO (适用于 Android)设备合规性 (与 AirWatch)
    • 回退方法 2:密码 (云部署)
  • 会话在 2160 小时后重新进行身份验证。

2160 小时相当于 90 天,这是 Workspace ONE 应用程序 OAuth 令牌的刷新令牌生存期。

3. 为“Web 浏览器”设备类型创建规则,以从任何 Web 浏览器中访问 Workspace ONE 门户。此示例中包含“密码 (本地目录)”身份验证方法作为回退方法。要对登录的系统管理员进行身份验证,必须至少将一个规则配置为使用“密码 (本地目录)”进行身份验证。会话在 24 小时后超时。

  • 网络范围为所有范围
  • 用户可以从 Web 浏览器访问内容。
  • 没有将任何组添加到策略规则。支持所有用户
  • 配置所有受支持的身份验证方法。
    • 使用密码 (云部署) 进行身份验证。
    • 回退方法 2:密码
    • 回退方法 3:密码 (本地目录)
  • 会话在 8 小时后重新进行身份验证。

4. 为所有设备类型创建规则以访问未管理的资源。

  • 网络范围为所有范围
  • 用户可以从所有设备中访问内容。
  • 没有将任何组添加到策略规则。支持所有用户
  • 配置所有受支持的身份验证方法。
    • 使用密码 (云部署) 进行身份验证。
  • 会话在 8 小时后重新进行身份验证。

为所有设备、Workspace ONE 应用程序和 Web 浏览器创建规则时,默认策略集与以下屏幕截图类似。

图 1. 最先列出 Workspace ONE 应用程序的默认策略集

配置了此默认访问策略的工作流。

  1. UserA 从 iOS 设备登录到 Intelligent Hub 应用程序,并要求该用户使用移动 SSO(适用于 iOS)进行身份验证。第三个规则是移动 SSO(适用于 iOS),并且身份验证成功。
  2. UserA 启动 Workspace ONE 应用程序中列出的某个资源,由于 Workspace ONE 应用程序规则中包含移动 SSO(适用于 iOS)身份验证方法作为回退身份验证方法,因此启动了该资源,而未再次请求进行身份验证。用户在 2160 小时内都可以启动资源,而无需重新登录到 Workspace ONE。

另请参阅“配置访问策略规则以进行合规性检查”。