Konfigurieren von Einstellungen für die Zugriffsrichtlinie

Eine Richtlinie enthält eine oder mehrere Zugriffsregeln. Jede Regel besteht aus Einstellungen, die Sie zur Verwaltung des Benutzerzugriffs auf deren Workspace ONE-Portal als Ganzes oder auf bestimmte Web- und Desktop-Anwendungen konfigurieren können.

Sie haben die Möglichkeit, eine Richtlinienregel zu konfigurieren, mit der das Blockieren, Zulassen oder erweiterte Authentifizieren von lokalen Benutzern an Bedingungen wie das verwendete Netzwerk, den Gerätetyp, die AirWatch-Geräteregistrierung und den Compliance-Status oder die Anwendung, auf die zugegriffen werden soll, geknüpft werden kann.

Netzwerkbereich

Für jede Regel legen Sie die Benutzerbasis fest, indem Sie einen Netzwerkbereich angeben. Ein Netzwerkbereich besteht aus mindestens einem IP-Adressenbereich. Erstellen Sie vor der Konfiguration der Richtliniensätze für den Zugriff auf der Seite „Einrichten“ > „Netzwerkbereiche“ der Registerkarte „Identitäts- und Zugriffsmanagement“ die Netzwerkbereiche.

Jede Identitätsanbieter-Instanz in Ihrer Bereitstellung verknüpft Netzwerkbereiche mit Authentifizierungsmethoden. Beim Konfigurieren einer Richtlinienregel müssen Sie sicherstellen, dass für den Netzwerkbereich eine vorhandene Identitätsanbieter-Instanz gültig ist.

Sie können durch Konfiguration bestimmter Netzwerkbereiche die Bereiche beschränken, von denen aus sich Benutzer anmelden und auf ihre Anwendungen zugreifen können.

Gerätetyp

Wählen Sie den Gerätetyp aus, den die Regel verwalten soll. Zu den Clienttypen gehören Webbrowser, Workspace ONE-App, iOS, Android, Windows 10, Mac OS X und „Alle Gerätetypen“.

Durch Konfiguration von Regeln haben Sie die Möglichkeit, festzulegen, welcher Gerätetyp auf Inhalte zugreifen darf. Alle Authentifizierungsanforderungen von diesem Gerätetyp verwenden dann die entsprechende Richtlinienregel.

Authentifizierungsmethoden

In der Richtlinienregel legen Sie die Reihenfolge fest, in der die Authentifizierungsmethoden angewendet werden sollen. Die Authentifizierungsmethoden werden in der Reihenfolge angewendet, in der sie aufgeführt sind. Es wird die erste Identitätsanbieterinstanz ausgewählt, die der Richtlinienkonfiguration für die Authentifizierungsmethode und dem Netzwerkbereich entspricht. Die Authentifizierungsanforderung des Benutzers wird zur Authentifizierung an den Identitätsanbieter weitergeleitet. Wenn die Authentifizierung scheitert, wird die nächste Authentifizierungsmethode in der Liste ausgewählt.

Sie können die Regeln für die Zugriffsrichtlinie so konfigurieren, dass Benutzer Anmeldedaten über zwei Authentifizierungsmethoden eingeben müssen, bevor sie sich anmelden können. Wenn eine oder beide Authentifizierungsmethoden scheitern und gleichzeitig Fallback-Methoden konfiguriert wurden, werden Benutzer zur Eingabe ihrer Anmeldedaten für die nächsten konfigurierten Authentifizierungsmethoden aufgefordert. Die beiden nachfolgend aufgeführten Szenarien beschreiben die Funktionsweise dieser Authentifizierungsverkettung.

Im ersten Szenario wird die Regel der Zugriffsrichtlinie so konfiguriert, dass Benutzer sich mit ihrem Kennwort und mit ihren Kerberos-Anmeldedaten authentifizieren müssen. Für die Fallback-Authentifizierung sollen das Kennwort und die RADIUS-Anmeldedaten erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, aber nicht die richtigen Kerberos-Anmeldedaten zur Authentifizierung. Da der Benutzer das korrekte Kennwort eingegeben hat, fordert die Fallback-Authentifizierung nur die RADIUS-Anmeldedaten an. Der Benutzer muss also das Kennwort nicht erneut eingeben.
Auch im zweiten Szenario wird die Regel der Zugriffsrichtlinie so konfiguriert, dass Benutzer sich mit ihrem Kennwort und mit ihren Kerberos-Anmeldedaten authentifizieren müssen. Für die Fallback-Authentifizierung sollen allerdings die RSA SecurID und ein RADIUS erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, aber nicht die richtigen Kerberos-Anmeldedaten zur Authentifizierung. Die Fallback-Authentifizierung fordert sowohl die Anmeldedaten für RSA SecurID als auch für RADIUS zur Authentifizierung an.

Zur Konfiguration einer Regel für eine Zugriffsrichtlinie, die eine Authentifizierung und eine Überprüfung der Geräte-Compliance erfordert, muss „Geräteübereinstimmung (mit AirWatch)“ auf der Seite des integrierten Identitätsanbieters aktiviert sein. Siehe Konfigurieren einer Zugriffsrichtlinienregel für die Compliance-Überprüfung.

Dauer der Authentifizierungssitzung

Für jede Regel legen Sie die Anzahl der Stunden fest, in der diese Authentifizierung gültig sein soll. Der Wert für Erneute Authentifizierung nach bestimmt, wie viel Zeit den Benutzern seit ihrem letzten Authentifizierungsereignis maximal für den Zugriff auf ihr Portal oder zum Starten einer bestimmten Anwendung zur Verfügung steht. Mit einem Wert von 4 in einer Web-Anwendungsregel werden beispielsweise für die Benutzer vier Stunden zum Starten der Web-Anwendung bereitgestellt, sofern sie kein weiteres Authentifizierungsereignis initiieren, das den Zeitwert erhöht.

Benutzerdefinierte Meldung zu einer Zugriffsverweigerung

Wenn Benutzer versuchen, sich anzumelden, und dies aufgrund ungültiger Anmeldedaten, fehlerhafter Konfiguration oder von Systemfehlern nicht möglich ist, wird eine Meldung über eine Zugriffsverweigerung angezeigt. Die Standardmeldung lautet Der Zugriff wurde verweigert, da keine gültigen Authentifizierungsmethoden gefunden wurden.

Sie haben die Möglichkeit, für jede Regel der Zugriffsrichtlinie eine benutzerdefinierte Meldung festzulegen, die Vorrang vor der Standardmeldung hat. Die benutzerdefinierte Meldung kann einen Text und einen Link für den Aufruf einer Aktionsmeldung enthalten. Beispielsweise können Sie in einer Richtlinienregel für von Ihnen verwaltete mobile Geräte im Falle der Anmeldung eines Benutzers von einem nicht angemeldeten Gerät die folgende benutzerdefinierte Fehlermeldung erstellen: Bitte melden Sie Ihr Gerät durch Anklicken des Links am Ende dieser Meldung für den Zugriff auf die Unternehmensressourcen an. Sollte Ihr Gerät bereits angemeldet sein, kontaktieren Sie den Support.

Beispiel für Standardrichtlinie

Die nachfolgend dargestellte Richtlinie stellt ein Beispiel dar für die Konfiguration der Standardrichtlinie zur Steuerung des Zugriffs auf das Apps-Portal sowie auf Web-Anwendungen, denen keine spezielle Richtlinie zugewiesen wurde.

Die Richtlinienregeln werden in der Reihenfolge ausgewertet, in der sie in der Richtlinie aufgeführt sind. Sie können durch Versetzen der Regel mittels „Drag-and-Drop“ die Regelreihenfolge im Abschnitt „Richtlinienregeln“ verändern.

- Für das interne Netzwerk sind für die Regel zwei Authentifizierungsmethoden konfiguriert, Kerberos- und Kennwortauthentifizierung als Fallback-Methode. Um auf das App-Portal von einem internen Netzwerk aus zuzugreifen, versucht der Dienst, Benutzer zuerst mit der Kerberos-Authentifizierung zu authentifizieren, da diese als erste Authentifizierungsmethode in der Regel aufgeführt ist. Schlägt diese fehl, werden die Benutzer zur Eingabe ihres Active Directory-Kennworts aufgefordert. Benutzer melden sich mit einem Browser an und haben dann im Rahmen einer Acht-Stunden-Sitzung Zugriff auf ihre Benutzerportale.
- Für den Zugriff vom externen Netzwerk aus (Alle Bereiche) wurde nur eine Authentifizierungsmethode konfiguriert, RSA SecurID. D. h. Benutzer müssen sich für den Zugriff auf das App-Portal von einem externen Netzwerk aus mit SecurID anmelden. Benutzer melden sich mit einem Browser an und haben dann im Rahmen einer Vier-Stunden-Sitzung Zugriff auf ihre App-Portale.
Diese Standardrichtlinie gilt für alle Web- und Desktop-Anwendungen, die über keine anwendungsspezifische Richtlinie verfügen.