要提供对 SaaS 应用程序的安全访问权限,应配置访问策略。访问策略包括一些规则,这些规则指定必须满足哪些条件才能登录 Workspace ONE 门户以及使用应用程序。

有关 Workspace ONE UEM 系统中的访问策略的详细信息,请参阅 Workspace ONE Access 并搜索管理访问策略

访问策略的灵活性

访问策略允许在网络中实施宽松的控制,但限制网络外部访问。例如,您可以使用以下规则配置一个访问策略。

  • 允许在公司网络内使用单点登录进行网络范围内访问。
  • 配置同一策略,要求在离开公司网络时进行多因素身份验证 (MFA)。
  • 配置策略以允许拥有特定类型的设备所有权的特定用户组进行访问。它可以阻止不在组中的其他用户进行访问。

默认访问策略和特定于应用程序的访问策略

默认访问策略 - Workspace ONE Access 服务和 Workspace ONE UEM Console 包括一项从整体上控制对 SaaS 应用程序的访问的默认策略。该策略允许所有用户从所有类型的设备对所有网络范围进行访问。您可以编辑默认访问策略,但是无法将其删除。

**重要提示:**对默认访问策略所做的编辑会应用到所有应用程序,并且会影响所有用户访问 Workspace ONE 的能力。

为访问策略添加网络范围

定义 IP 地址的网络范围,允许使用这些 IP 地址的用户登录 SaaS 应用程序。您可以在对 SaaS 应用程序应用访问规则时分配这些范围。您需要进行 Workspace ONE Access 部署和 Workspace ONE UEM 部署的网络范围。贵组织的网络部门通常有网络拓扑。

  1. 导航到资源 > 应用 > 访问策略 > 网络范围

  2. 选择一个名称并编辑范围或选择添加网络范围

  3. 完成用来定义范围的相关选项。

    设置 说明
    名称 输入网络范围的名称。
    说明 输入网络范围的说明。
    IP 范围 输入范围内的 IP 地址,以便纳入适用的设备。
    添加行 定义多个 IP 范围。

配置特定于应用程序的访问策略

您可以添加特定于应用程序的访问策略以控制用户对 SaaS 应用程序的访问。

  1. 导航到资源 > 应用 > 访问策略 > 添加策略

  2. 完成定义标签页上的选项

    设置 说明
    策略名称 输入策略的名称。允许的名称条件包括列出的参数。以字母(从 a-Z,小写或大写)开头。包含其他字母(从 a-Z,小写或大写)。您还可以包含短划线和数字。
    说明 (可选)提供策略的说明。
    应用于 选择要应用策略的 SaaS 应用程序。
  3. 完成配置标签页上的选项,然后选择添加策略规则或编辑现有策略。

    设置 说明
    用户的网络范围 选择以前在定义网络范围过程中配置的网络范围。
    用户用于访问内容的设备 根据此策略中的标准,选择允许访问内容的设备类型。
    用户所属的组 根据此策略中的标准,选择允许访问内容的用户组。如果您未选择任何组,则该策略将应用于所有用户。
    然后执行此操作 允许身份验证、拒绝身份验证或允许不经任何身份验证进行访问。
    用户用来进行身份验证的方法 选择用来访问内容的初始身份验证方法。
    上面的方法失败或不适用 如果初始方法失败,请选择一种回滚方法来进行身份验证。
    添加回滚方法 添加另一种身份验证方法。系统会自上而下应用各种验证方法,因此请按照您期望系统应用各种方法的顺序进行添加。
    重新进行身份验证的时限 选择用户为访问内容而必须重新进行身份验证之前允许的访问会话的时长。
  4. 查看特定于应用程序的访问策略的摘要

Workspace ONE UEM 和 Workspace ONE Access 之间用于 SaaS 应用和访问策略的 SSO

Workspace ONE UEM Console 和 Workspace ONE Access 使用授权代码工作流,该流程允许通过 Workspace ONE UEM Console 访问 Workspace ONE Access 控制台,并允许管理员对 SaaS 应用程序配置执行操作。此流程特定于 Workspace ONE UEM 中的 SaaS 应用程序和访问策略。在 Workspace ONE UEM 中所做的添加和编辑在 Workspace ONE UEM 中会反映出来。

在设置过程中注册 OAuth 客户端

当您在 Workspace ONE UEM Console 中设置 Workspace ONE Access 时,可以在设置向导中注册 OAuth 客户端。OAuth 客户端注册是此 SSO 功能发挥作用的必备条件。

工作流

Workspace ONE Access 和 Workspace ONE UEM 在后端工作,对 Workspace ONE UEM 管理员进行身份验证以访问 Workspace ONE Access。Workspace ONE Access Console 将 ID 令牌传递到 Workspace ONE UEM。此令牌包含有关管理员和身份验证的信息,以便管理员可以访问两个控制台。两个控制台遵循所描述的过程。

描述 SSO 通信的工作流

check-circle-line exclamation-circle-line close-line
Scroll to top icon