Erstellen Sie Zugriffsrichtlinienregeln, die die Kriterien festlegen, die erfüllt sein müssen, um auf das Workspace ONE-Portal und die berechtigten Anwendungen als Ganzes zuzugreifen. Sie können auch anwendungsspezifische Zugriffsrichtlinien mit Regeln zur Verwaltung des Benutzerzugriffs auf bestimmte Web- und Desktop-Anwendungen erstellen.
Netzwerkbereich
Netzwerkadressen werden der Zugriffsrichtlinie zugewiesen, um den Benutzerzugriff zu verwalten, basierend auf der IP-Adresse, die für die Anmeldung und den Zugriff auf Anwendungen verwendet wird. Wenn der Workspace ONE Access-Dienst lokal konfiguriert wird, können Sie Netzwerk-IP-Adressbereiche für den internen Netzwerkzugriff und den externen Netzwerkzugriff konfigurieren. Sie können dann basierend auf dem in der Regel konfigurierten Netzwerkbereich unterschiedliche Regeln erstellen.
Die Netzwerkbereiche werden auf der Registerkarte „Identitäts- und Zugriffsmanagement“ der Seite „Verwalten“ > „Richtlinien“ > „Netzwerkbereiche“ konfiguriert, bevor Zugriffsregeln konfiguriert werden.
Jede Identitätsanbieter-Instanz in Ihrer Bereitstellung ist so konfiguriert, dass sie Netzwerkbereiche mit Authentifizierungsmethoden verknüpft. Beim Konfigurieren einer Richtlinienregel müssen Sie sicherstellen, dass für den ausgewählten Netzwerkbereich eine vorhandene Identitätsanbieter-Instanz gültig ist.
Gerätetyp
Zugriffsrichtlinienregeln sind so konfiguriert, dass sie den Typ des Geräts verwalten, das für den Zugriff auf das Portal und die Ressourcen verwendet wird. Zu den Geräten, die Sie angeben können, gehören iOS- und Android-Mobilgeräte, Computer mit Windows 10 oder MacOS-Betriebssystemen, Webbrowser, Workspace ONE & Intelligent Hub-App und alle Gerätetypen.
Die Richtlinienregel mit dem Gerätetyp „Workspace ONE & Intelligent Hub-App“ definiert die Zugriffsrichtlinie für das Starten von Anwendungen aus der Workspace ONE- oder Intelligent Hub-App nach der Anmeldung über ein Gerät. Wenn diese Regel die erste Regel in der Richtlinienliste ist, können Benutzer nach der Authentifizierung bei der App angemeldet bleiben und entsprechend der Standardeinstellung bis zu 90 Tage auf ihre Ressourcen zugreifen.
Die Regel mit dem Gerätetyp „Webbrowser“ definiert eine Zugriffsrichtlinie für alle Arten von Webbrowsern, unabhängig von Geräte-Hardwaretypen und Betriebssystemen.
Die Regel mit dem Gerätetyp „Alle Gerätetypen“ stimmt mit allen Zugriffsfällen überein.
Wenn die Workspace ONE- oder Intelligent Hub-App für den Zugriff auf Anwendungen verwendet wird, werden die Gerätetypen in der Richtlinie organisiert, für die der Gerätetyp „Workspace ONE-App“ als erste Regel festgelegt ist. Darauf folgen die Gerätetypen „Mobil“, „Windows“, „macOS“ und „Webbrowser“. „Alle Gerätetypen“ wird zuletzt aufgeführt. Die Reihenfolge, in der die Regeln aufgelistet sind, gibt die Reihenfolge an, in der die Regeln angewendet werden. Wenn ein Gerätetyp der Authentifizierungsmethode entspricht, werden nachfolgende Regeln ignoriert. Wenn die Workspace ONE-App-Regel des Gerätetyps nicht die erste Regel in der Richtlinienliste ist, werden Benutzer für längere Zeit nicht an der Workspace ONE-App angemeldet. Siehe Anwenden von Workspace ONE-App-Regeln auf Zugriffsrichtlinien.
Gruppen hinzufügen
Sie können verschiedene Authentifizierungsregeln basierend auf der Gruppenzugehörigkeit des Benutzers anwenden. Dies können Gruppen sein, die aus Ihrem Unternehmensverzeichnis synchronisiert werden, und lokale Gruppen, die Sie in der Workspace ONE Access-Konsole erstellt haben.
Wenn Gruppen einer Zugriffsrichtlinie zugewiesen werden, werden Benutzer aufgefordert, ihre eindeutige Kennung einzugeben und dann die Authentifizierung auf der Grundlage der Zugriffsrichtlinie einzugeben. Weitere Informationen finden Sie unter „Anmeldung mit eindeutiger ID“ im Administratorhandbuch für Workspace ONE Access. Standardmäßig ist userName der eindeutige Bezeichner. Navigieren Sie zur Seite „Identitäts- und Zugriffsmanagement > Setup > Einstellungen“, um den konfigurierten eindeutigen Identifikatorwert zu sehen oder den Identifikator zu ändern.
Von Regeln verwaltete Aktionen
Eine Zugriffsregel kann so konfiguriert werden, dass sie den Zugriff auf den Arbeitsbereich und die Ressourcen erlaubt oder verweigert. Wenn eine Richtlinie für den Zugriff auf bestimmte Anwendungen konfiguriert ist, können Sie auch die Aktion angeben, die den Zugriff auf die Anwendung ohne weitere Authentifizierung erlaubt. Damit diese Aktion angewendet werden kann, ist der Benutzer bereits durch die Standardzugriffsrichtlinie authentifiziert.
Sie können selektiv Bedingungen in der Regel anwenden, die für die Aktion gelten, z. B. welche Netzwerke, Gerätetypen und Gruppen einbezogen werden sollen, sowie den Status der Geräteregistrierung und Konformitätsstatus. Wenn der Zugriff verweigert werden soll, können sich Benutzer nicht über den in der Regel konfigurierten Gerätetyp und Netzwerkbereich anmelden oder Anwendungen starten.
Authentifizierungsmethoden
Die im Workspace ONE Access-Dienst konfigurierten Authentifizierungsmethoden werden auf Zugriffsregeln angewendet. Für jede Regel wählen Sie die Art der Authentifizierungsmethoden aus, mit denen die Identität der Benutzer überprüft wird, die sich bei Workspace ONE anmelden oder auf eine App zugreifen. Sie können mehr als eine Authentifizierungsmethode in einer Regel auswählen.
Die Authentifizierungsmethoden werden in der Reihenfolge angewendet, in der sie in der Regel aufgeführt sind. Die erste Identitätsanbieterinstanz, die die Authentifizierungsmethode und Netzwerkbereichskonfiguration in der Regel erfüllt, wird ausgewählt. Die Authentifizierungsanforderung des Benutzers wird zur Authentifizierung an den Identitätsanbieter weitergeleitet. Wenn die Authentifizierung scheitert, wird die nächste Authentifizierungsmethode in der Liste ausgewählt.
Sie können die Authentifizierungsverkettung in einer Zugriffsrichtlinie so konfigurieren, dass Benutzer Anmeldeinformationen über mehr als eine Authentifizierungsmethode übergeben müssen, bevor sie sich anmelden können. Es werden zwei Authentifizierungsbedingungen in einer Regel konfiguriert, und der Benutzer muss auf beide Authentifizierungsanforderungen korrekt reagieren. Wenn Sie z. B. die Authentifizierung mit der Einstellung „Kennwort“ und VMware Verify festlegen, müssen Benutzer sowohl ihr Kennwort als auch die VMware Verify-Kennung eingeben, bevor sie authentifiziert werden.
Die Fallback-Authentifizierung kann so eingerichtet werden, dass Benutzer, die die vorherige Authentifizierungsanforderung nicht bestehen, sich erneut anmelden können. Wenn eine Authentifizierungsmethode den Benutzer nicht authentifiziert und auch Fallback-Methoden konfiguriert sind, werden Benutzer aufgefordert, ihre Anmeldeinformationen für die zusätzlich konfigurierten Authentifizierungsmethoden einzugeben. Die folgenden zwei Szenarien beschreiben, wie dieser Fallback funktionieren kann.
- Im ersten Szenario ist die Zugriffsrichtlinie so konfiguriert, dass Benutzer sich mit ihrem Kennwort und der VMware Verify-Kennung authentifizieren müssen. Für die Fallback-Authentifizierung sollen das Kennwort und die RADIUS-Anmeldedaten erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, gibt aber nicht die richtige VMware Verify-Kennung ein. Da der Benutzer das korrekte Kennwort eingegeben hat, fordert die Fallback-Authentifizierung nur die RADIUS-Anmeldedaten an. Der Benutzer muss also das Kennwort nicht erneut eingeben.
- Im zweiten Szenario ist die Zugriffsrichtlinie so konfiguriert, dass Benutzer sich mit ihrem Kennwort und der VMware Verify-Kennung authentifizieren müssen. Für die Fallback-Authentifizierung sollen allerdings die RSA SecurID und ein RADIUS erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, gibt aber nicht die richtige VMware Verify-Kennung ein. Die Fallback-Authentifizierung fordert sowohl die Anmeldedaten für RSA SecurID als auch für RADIUS zur Authentifizierung an.
Zur Konfiguration einer Regel für eine Zugriffsrichtlinie, die eine Authentifizierung und eine Überprüfung der verwalteten Workspace ONE UEM-Geräte erfordert, muss „Geräteübereinstimmung (mit AirWatch)“ auf der Seite des integrierten Identitätsanbieters aktiviert sein. Siehe Aktivieren der Compliance-Überprüfung für von Workspace ONE UEM verwaltete Geräte. Die integrierten Authentifizierungsmethoden für Identitätsanbieter, die mit der Geräteübereinstimmung mit AirWatch verknüpft werden können, sind Mobile SSO (für iOS), Mobile SSO (für Android) oder Zertifikat (Cloud-Bereitstellung).
Wenn VMware Verify für die Zwei-Faktor-Authentifizierung verwendet wird, ist VMware Verify die zweite Authentifizierungsmethode in der Authentifizierungskette. VMware Verify muss auf der Seite „Integrierter Identitätsanbieter“ aktiviert sein. Siehe Konfigurieren von VMware Verify für Zwei-Faktor-Authentifizierung.
Dauer der Authentifizierungssitzung
Für jede Regel legen Sie die Anzahl der Stunden fest, in der diese Authentifizierung gültig sein soll. Der Wert für Erneute Authentifizierung nach bestimmt, wie viel Zeit den Benutzern seit ihrem letzten Authentifizierungsereignis maximal für den Zugriff auf ihr Portal oder zum Öffnen einer bestimmten Anwendung zur Verfügung steht. Beispielsweise bedeutet der Wert 8 in einer Webanwendungsregel, dass Benutzer sich nach der Authentifizierung 8 Stunden lang nicht erneut authentifizieren müssen.
Die Einstellung der Richtlinienregel Erneute Authentifizierung nach steuert die Anwendungssitzungen nicht. Die Einstellung steuert die Zeit, nach der Benutzer neu authentifiziert werden müssen.
Benutzerdefinierte Meldung zu einer Zugriffsverweigerung
Wenn Benutzer versuchen, sich anzumelden, und dies aufgrund ungültiger Anmeldedaten, fehlerhafter Konfiguration oder von Systemfehlern nicht möglich ist, wird eine Meldung über eine Zugriffsverweigerung angezeigt. Die Standardmeldung lautet Der Zugriff wurde verweigert, da keine gültigen Authentifizierungsmethoden gefunden wurden.
Sie können eine benutzerdefinierte Fehlermeldung erstellen, die die Standardmeldung für jede Zugriffsrichtlinie überschreibt. Die benutzerdefinierte Meldung kann einen Text und einen Link für den Aufruf einer Aktionsmeldung enthalten. In einer Richtlinienregel zur Beschränkung des Zugriffs auf Geräte, die angemeldet sind, können Sie beispielsweise die folgende benutzerdefinierte Fehlermeldung erstellen, wenn ein Benutzer versucht, sich von einem nicht angemeldeten Gerät aus anzumelden. Bitte melden Sie Ihr Gerät durch Anklicken des Links am Ende dieser Meldung für den Zugriff auf die Unternehmensressourcen an. Sollte Ihr Gerät bereits angemeldet sein, kontaktieren Sie den Support.