Workspace ONE Access 服务包含一个默认访问策略集,用于控制用户对其用户门户和 Web 应用程序的访问。
默认访问策略配置为允许从所有设备类型访问所有网络范围。会话超时为八小时。如有必要,您可以编辑此策略集来更改策略规则。
如果您在 Workspace ONE Access 服务中启用密码身份验证以外的其他身份验证方法,则必须编辑默认策略以将这些身份验证方法添加到策略规则中。
可以在默认访问策略中创建访问规则,以管理从 iOS、Android、macOS 和 Windows 10 设备进行的移动单点登录。
在用户尝试登录时,Workspace ONE Access 服务会评估默认访问策略规则,以便选择要应用策略中的哪个规则。身份验证方法将按照它们在规则中列出的先后顺序加以应用。满足规则的身份验证方法和网络范围要求的第一个身份提供程序实例将被选中。用户身份验证请求会被转发到该身份提供程序实例以进行身份验证。如果身份验证失败,则应用规则中配置的下一个身份验证方法。
服务使用给定的身份验证方法尝试让用户登录的次数因方法而异。对于 Kerberos 或证书身份验证,服务仅尝试对用户进行一次身份验证。如果用户无法通过该身份验证方法成功登录,将尝试规则中的下一个身份验证方法。对于 Active Directory 密码和 RSA SecurID 身份验证,最大的登录尝试失败次数默认为五次。用户尝试登录失败五次后,服务将尝试使用列表中的下一个身份验证方法使用户登录。当所有身份验证方法都已用尽时,服务会发出一条错误消息。