要管理工作者何时可以使用 Workspace ONE Intelligent Hub 应用程序访问企业应用程序目录中的 Web 应用程序和桌面应用程序,请在 Workspace ONE Access 控制台中启用并配置基于轮班的访问授权方法,并创建特定于应用程序的访问策略以指定用户访问应用程序时必须满足的条件。

基于轮班的访问控制通过从计时系统检索到的工作者状态数据来实现,而计时系统在 Hub 服务控制台内基于轮班的访问控制服务中配置。在 Workspace ONE Access 中,您可以创建一个访问策略,其中包含的规则要求工作者先使用身份验证方法进行身份验证,然后使用基于轮班的授权来管理对应用程序访问。

Hub 服务中基于轮班的访问控制工作流每 15 分钟从 Dimensions 计时系统中扫描一次工作者状态,并将数据保存在 Hub 服务缓存数据存储中。在发送数据后,如果工作得状态不可用,Dimensions 服务会发出未知状态。要管理轮班状态不可用的情况,您可以在基于轮班的授权配置中配置是启用还是停用在状态未知时对工作者进行授权的功能。如果启用在状态未知时对工作者进行授权的功能,则工作者仍然可以访问其应用程序。

先决条件

  • 已在 Hub 服务控制台内基于轮班的访问控制服务中配置计时系统。
  • 已设置一个访问策略,以列出 Workspace ONE Access 目录中配置的要进行限制的应用程序。

Workspace ONE Access 控制台中配置这些设置。

有关在 Workspace ONE 平台中配置基于轮班的访问控制的更多信息,请参阅在数字化工作区中使用 VMware Workspace ONE 进行基于轮班的访问控制

过程

在 Workspace ONE Access 中配置基于轮班的访问授权方法

  1. Workspace ONE Access 控制台中,导航到集成 > 身份验证方法页面,然后选择基于轮班的访问
    Workspace ONE Access 控制台的“身份验证方法”页面,其中标出了“基于轮班的访问”
  2. 单击配置,以启用该授权方法并设置可选功能。

    选项

    描述

    启用基于轮班的授权

    启用设置为

    对“未知”轮班状态进行授权。

    此字段为可选。未知状态表示工作者的轮班状态不可用。

    默认值为“关闭”,这表示不会授权状态未知的工作者访问其应用程序。

    如果启用对“未知”轮班状态进行授权,则将授权具有未知状态的工作者(无论是否在工作时段)访问其应用程序。

    在无法访问轮班状态时进行授权

    此字段为可选。如果公司想在轮班系统关闭时优先向用户提供访问权限,请启用此无法访问字段。

    默认值为“关闭”。如果启用在无法访问轮班状态时进行授权Workspace ONE Access 将根据贵公司对计时系统的使用方式来管理授权。

    单击保存

  3. 导航到身份提供程序页面,然后选择要配置基于轮班的访问授权的内置身份提供程序。
    1. 如果这是新的身份提供程序,请在“常规信息”部分添加 IDP 名称,然后在“用户”部分选择包含基于轮班的访问控制用户的用户组的目录。
    2. 在“身份验证方法”部分中,选择基于轮班的访问
    3. 在“网络”部分中,选择相应的网络范围。
    4. 在页面顶部,单击保存
    Workspace ONE Access 控制台中用于配置基于轮班的访问的“身份提供程序”页面

创建访问策略

创建特定于应用程序的访问策略,其中包含的规则要求先进行身份验证,然后进行基于轮班的授权才能访问应用程序。

  1. Workspace ONE Access 控制台中,导航到资源 > 策略,然后单击添加策略
  2. 在“定义”页面上的策略名称中,输入策略的名称,然后在描述文本框中描述策略的用途。例如,用于管理基于轮班的工作者访问的策略
  3. 应用于部分中,选择需要基于轮班的授权才能访问应用程序的应用程序名称,然后单击下一步
  4. 配置页面上,单击 + 添加策略规则

    选项

    描述

    如果用户的网络范围为

    选择工作者可用于登录和访问应用程序的网络范围。默认值为“所有范围”。

    并且用户访问内容来自

    选择该规则适用于的设备类型。

    为适用于所有访问情况的策略规则选择所有设备类型

    并且用户属于组

    如果此访问规则将应用于特定组,请在搜索框中搜索组。

    如果未选择组,此访问策略规则将应用于所有用户。

    然后执行此操作

    选择使用以下方法进行身份验证...

    则用户可以使用以下方法进行身份验证

    配置身份验证方法,然后配置基于轮班的访问授权方法。

    1. 选择工作者访问应用程序时必须使用的身份验证方法。
    2. 单击 +,然后选择基于轮班的访问

    如果之前的方法失败或不适用,则

    如果配置回退身份验证方法,请单击 + 以将基于轮班的访问添加到回退配置中。

    在以下时间后重新进行身份验证

    设置此身份验证的有效小时数。“在以下时间后重新进行身份验证”的值决定了用户自其上次身份验证事件后,可访问应用程序的最长时间。

    如果工作者具有有效的会话令牌,则他们可以一直访问应用程序,直到会话在在以下时间后重新进行身份验证对应时间内过期为止,即使在非工作时段也是如此。

    默认值为 8 小时。您可能希望缩短此重新身份验证时间。

    (建议)“高级属性”>“自定义错误消息”

    创建一条自定义错误消息,解释用户无法访问应用程序的原因。

  5. 单击保存
  6. 为在 Workspace ONE Access 中配置的每个身份验证方法创建一个策略规则。
  7. 单击下一步
  8. 配置页面,按照规则的应用顺序对列表中的规则进行排序。

    规则在策略配置页面上的列出顺序表示规则的应用顺序。当设备与规则中的条件匹配时,将执行规则,并忽略后续规则。

Workspace ONE Access 策略规则配置页面