为了在用户从 Workspace ONE 应用程序访问资源时实现单点登录体验,默认访问策略配置了针对您环境中使用的每种设备类型(Android、iOS、Mac OS 或 Windows 10)的规则。您还需要为设备类型“Workspace ONE 应用程序”创建规则。
在此默认访问策略配置示例中,创建的默认访问策略具有的规则涵盖从所有网络范围登录的用户。创建了以下规则。
- 针对可用于访问 Workspace ONE 应用程序的每种设备的规则。
- 针对用户从“Workspace ONE 应用程序”设备类型进行访问的规则。为设备配置的每种身份验证方法都必须包含在规则中。
- 针对用户从“Web 浏览器”设备类型通过任何 Web 浏览器访问 Workspace ONE 的规则。
设备类型“Workspace ONE 应用程序”的规则配置了可用于访问 Workspace ONE 应用程序的所有身份验证方法。首先分配了一种身份验证方法,然后配置了其他身份验证方法作为回退身份验证类型。当用户使用其中一种设备登录到 Workspace ONE 应用程序时,会根据为这种设备类型配置的身份验证方法对用户进行身份验证。用户成功通过身份验证后,当他们从 Workspace ONE 应用程序屏幕启动其他资源时,将会识别该身份验证方法,并且不会提示用户重新进行身份验证。如果无法识别用于进行 Workspace ONE 身份验证的身份验证方法,当用户从 Workspace ONE 应用程序启动资源时,系统会根据 Workspace ONE 应用程序规则提示用户进行身份验证。
为获得最佳用户体验,需在默认访问策略中将设备类型“Workspace ONE 应用程序”列为第一个规则。当该规则为第一个规则时,用户将会登录到该应用程序,并且在会话过期之前可以启动资源而无需重新进行身份验证。
1. 为可用于访问 Workspace ONE 的每种设备创建规则。此示例显示的是允许从设备类型“iOS”进行访问的规则。
- 网络范围为所有范围。
- 用户可以从 iOS 访问内容。
- 没有将任何组添加到策略规则。支持所有用户。
- 配置所有受支持的身份验证方法。
- 使用移动 SSO (适用于 iOS) 进行身份验证。
- 回退方法 1:密码 (云部署)。
- 回退方法 2:设备合规性 (与 AirWatch)。
- 会话在 8 小时后重新进行身份验证。
2. 为设备类型“Workspace ONE 应用程序”创建规则。为设备配置的每种身份验证方法都必须包含在规则中。
- 网络范围为所有范围。
- 用户可以从 Workspace ONE 应用程序访问内容。
- 没有将任何组添加到策略规则。支持所有用户。
- 配置所有受支持的身份验证方法。
- 使用移动 SSO (适用于 iOS) 进行身份验证。
- 回退方法 1:移动 SSO (适用于 Android)。
- 回退方法 2:密码 (云部署)。
- 回退方法 3:设备合规性 (与 AirWatch)。
- 会话在 2160 小时后重新进行身份验证。
2160 小时等同于 90 天,这是 Workspace ONE 应用程序 OAuth 令牌的刷新令牌生存期。请参阅将 Workspace ONE 应用程序规则应用于访问策略。
3. 为设备类型“Web 浏览器”创建用于从任何 Web 浏览器访问 Workspace ONE 的规则。此示例中包含“密码 (本地目录)”身份验证方法作为回退方法。要对登录的系统管理员进行身份验证,必须至少将一个规则配置为使用“密码 (本地目录)”进行身份验证。会话在 24 小时后超时。
- 网络范围为所有范围。
- 用户可以从 Web 浏览器访问内容。
- 没有将任何组添加到策略规则。支持所有用户。
- 配置所有受支持的身份验证方法。
- 使用密码 (云部署) 进行身份验证。
- 回退方法 2:密码。
- 回退方法 3:密码 (本地目录)。
- 会话在 8 小时后重新进行身份验证。
为所有设备、Workspace ONE 应用程序和 Web 浏览器创建规则时,默认策略集与以下屏幕截图类似。
配置了此默认访问策略的工作流。
- UserA 从其 iOS 设备登录到 Workspace ONE 应用程序,系统要求其使用移动 SSO(适用于 iOS)进行身份验证。身份验证成功。
- UserA 启动 Workspace ONE 应用程序中列出的某个资源,由于 Workspace ONE 应用程序规则中包含移动 SSO(适用于 iOS)身份验证方法作为回退身份验证方法,因此启动了该资源,而未再次请求进行身份验证。用户在 2160 小时内都可以启动资源,而无需重新登录到 Workspace ONE。