可以配置 Workspace ONE 基于轮班的访问控制来提供数字工作区,这可限制工作者在没有打卡上班的情况下使用不同的产品应用程序和功能。
在 Workspace ONE Access 控制台中,您可以将基于轮班的授权配置为授权方法,以根据工作者是上班还是下班来管理工作者可以启动特定 Workspace ONE Access 联合应用程序的时间。您可以创建特定于应用程序的访问策略,以指定用户访问应用程序时必须满足的条件。在根据您的访问策略规则使用第一因素身份验证方法对工作者进行身份验证后,将应用授权。
对基于轮班的访问进行控制将依据从集成在 Workspace ONE Experience Workflows 中的 WorkJam 时间管理和调度系统中检索到的工作者状态数据。您可以创建一个访问策略,其中包含的规则要求工作者先使用身份验证方法进行身份验证,然后使用基于轮班的授权来管理对应用程序的访问。
要管理轮班状态不可用的情况,您可以在基于轮班的授权配置中启用在轮班状态未知或无法访问时对工作者进行授权的功能。
必备条件
- 已激活 Hub 服务,并已启用应用程序目录。
- Workjam - 在 Hub 服务控制台的 Workspace ONE Experience Workflows 中安装和配置的工作者状态集成包。
- 在 Workspace ONE Access 目录中配置的要进行限制的应用程序列表。
启用基于轮班的访问的过程
- 在 Workspace ONE Access 控制台的 页面中,选择基于轮班的访问。
- 启用授权方法。
选项
描述
启用基于轮班的授权
将“启用”设置为是。
对“未知”轮班状态进行授权。
在无法访问轮班状态时进行授权
这两个字段是可选配置字段。它们用于启用在轮班状态未知或无法访问时对工作者进行授权的功能,并且基于公司使用 WorkJam 的方式。
如果应从基于轮班的访问中排除没有轮班状态的用户,请启用此“未知”字段。
如果公司想在轮班系统关闭时优先提供访问权,请启用此“无法访问”字段。
- 导航到身份提供程序页面,然后选择已配置的内置身份提供程序。
- 在“身份验证方法”部分中,选择基于轮班的访问。
- 单击保存。
创建访问策略
创建特定于应用程序的访问策略,其中包含的规则要求先进行身份验证,然后进行基于轮班的授权才能访问应用程序。
- 在 Workspace ONE Access 控制台中,导航到 ,然后单击添加策略。
- 在“定义”页面上的策略名称中,输入策略的名称,然后在描述文本框中描述策略的用途。例如,用于管理基于轮班的工作者访问的策略。
- 在应用于部分中,添加需要基于轮班的授权才能访问应用程序的受限应用程序名称。
- 在“配置”页面上,单击 + 添加策略规则。
选项
描述
如果用户的网络范围为
选择工作者可用于登录和访问应用程序的网络范围。
并且用户访问内容来自
选择该规则适用于的设备类型。为适用于所有访问情况的策略规则选择所有设备类型。
并且用户属于组
如果此访问规则将应用于特定组,请在搜索框中搜索组。
如果未选择组,此访问策略规则将应用于所有用户。
然后执行此操作
选择使用以下方法进行身份验证...
则用户可以使用以下方法进行身份验证
配置身份验证方法顺序。
- 选择工作者访问应用程序时必须使用的身份验证方法。
- 单击 +,然后选择基于轮班的访问。
如果之前的方法失败或不适用,则
您没有配置回退方法。
在以下时间后重新进行身份验证
选择会话时长,工作者在此时段之后必须重新进行身份验证。默认值为 8 个小时。
(建议)“高级属性”>“自定义错误消息”
创建一条自定义错误消息,解释用户无法访问应用程序的原因。
- 单击保存。
- 如果您未将“所有设备类型”配置为并且用户访问内容来自的值,请单击添加策略规则,为用于访问受管应用程序的每种设备类型添加和配置基于轮班的访问规则。
- 单击下一步。
- 在配置页面上,查看身份验证顺序。您可以拖动规则行以更改规则应用顺序。