用于 Workspace ONE 应用程序单点登录的默认访问策略示例

为了在用户从 Workspace ONE 应用程序中访问资源时获得单点登录体验，默认访问策略配置了针对您的环境中使用的每种设备类型（Android、iOS、MacOS 或 Windows 10）的规则。

在此默认访问策略配置示例中，创建的默认访问策略具有的规则涵盖从所有网络范围登录的用户。对于受管访问，将为设备和 Workspace ONE 应用程序规则配置 AirWatch 设备合规性。创建了以下规则。

针对可用于访问 Intelligent Hub 应用程序的每种类型的移动设备的规则。
针对用户从 Workspace ONE 应用程序设备类型中访问 Intelligent Hub 应用程序的规则。在该规则中配置了支持的所有设备的所有身份验证方法。设备合规性身份验证方法适用于支持从管理的设备中进行的访问。
针对用户从“Web 浏览器”设备类型通过任何 Web 浏览器访问 Workspace ONE 的规则。
针对未管理的设备上的用户访问资源的规则。

当用户使用其中一种设备登录到 Workspace ONE 应用程序时，会根据为这种设备类型配置的身份验证方法对用户进行身份验证。用户成功通过身份验证后，当他们从 Intelligent Hub 应用程序屏幕启动其他资源时，将会识别该身份验证方法，并且不会提示用户重新进行身份验证。

如果无法识别用于在 Workspace ONE 中进行身份验证的身份验证方法，在用户从 Intelligent Hub 应用程序中启动资源时，将提示用户根据 Workspace ONE 应用程序规则进行身份验证。

用于 Workspace ONE 的访问策略规则条件示例

为获得最佳用户体验，需在默认访问策略中将设备类型“Workspace ONE 应用程序”列为第一个规则。当该规则为第一个规则时，用户将会登录到该应用程序，并且在会话过期之前可以启动资源而无需重新进行身份验证。

1. 为可用于访问 Workspace ONE 的每种设备创建规则。此示例显示的是允许从设备类型“iOS”进行访问的规则。

网络范围为所有范围。
用户可以从 iOS 访问内容。
没有将任何组添加到策略规则。支持所有用户。
配置所有受支持的身份验证方法。
- 使用移动 SSO (适用于 iOS) 和设备合规性 (与 AirWatch) 进行身份验证。
- 回退方法 1：密码 (云部署)。
会话在 8 小时后重新进行身份验证。

2. 为设备类型“Workspace ONE 应用程序”创建规则。必须在该规则中包含在步骤 1 中为设备配置的每种身份验证方法。

网络范围为所有范围。
用户可以从 Workspace ONE 应用程序访问内容。
没有将任何组添加到策略规则。支持所有用户。
配置所有受支持的身份验证方法。
- 使用移动 SSO (适用于 iOS) 和设备合规性 (与 AirWatch) 进行身份验证。
- 回退方法 1：移动 SSO (适用于 Android) 和设备合规性 (与 AirWatch)。
- 回退方法 2：密码 (云部署)。
会话在 2160 小时后重新进行身份验证。

2160 小时相当于 90 天，这是 Workspace ONE 应用程序 OAuth 令牌的刷新令牌生存期。

3. 为“Web 浏览器”设备类型创建规则，以从任何 Web 浏览器中访问 Workspace ONE 门户。此示例中包含“密码 (本地目录)”身份验证方法作为回退方法。要对登录的系统管理员进行身份验证，必须至少将一个规则配置为使用“密码 (本地目录)”进行身份验证。会话在 24 小时后超时。

4. 为所有设备类型创建规则以访问未管理的资源。

为所有设备、Workspace ONE 应用程序和 Web 浏览器创建规则时，默认策略集与以下屏幕截图类似。

配置了此默认访问策略的工作流。

UserA 从 iOS 设备登录到 Intelligent Hub 应用程序，并要求该用户使用移动 SSO（适用于 iOS）进行身份验证。第三个规则是移动 SSO（适用于 iOS），并且身份验证成功。
UserA 启动 Workspace ONE 应用程序中列出的某个资源，由于 Workspace ONE 应用程序规则中包含移动 SSO（适用于 iOS）身份验证方法作为回退身份验证方法，因此启动了该资源，而未再次请求进行身份验证。用户在 2160 小时内都可以启动资源，而无需重新登录到 Workspace ONE。

另请参阅“配置访问策略规则以进行合规性检查”。