Damit Benutzer beim Zugriff auf Ressourcen über die Workspace ONE Intelligent Hub-App Single Sign-On nutzen können, wird die Standardzugriffsrichtlinie mit Regeln für jeden Gerätetyp in Workspace ONE Access konfiguriert, der in Ihrer Umgebung, Android, iOS, MacOS oder Windows 10 verwendet wird.
In diesem Beispiel einer Standardzugriffsrichtlinienkonfiguration wird die Standardzugriffsrichtlinie mit Regeln für Benutzer erstellt, die sich aus allen Netzwerkbereichen anmelden. Für den verwalteten Zugriff wird Geräte-Compliance für Workspace ONE UEM für die Geräte und die Workspace ONE Intelligent Hub-App-Regeln konfiguriert. Die folgenden Regeln werden erstellt.
- Eine Regel für jede Art von Gerät, das für den Zugriff auf die Workspace ONE Intelligent Hub-App verwendet werden kann.
- Eine Regel für den Benutzerzugriff vom Gerätetyp „Apps auf Workspace ONE Intelligent Hub“ für die Workspace ONE Intelligent Hub-App. Alle Authentifizierungsmethoden für alle unterstützten Geräte werden in dieser Regel konfiguriert. Die Authentifizierungsmethode für die Geräte-Compliance wird angewendet, um den Zugriff von verwalteten Geräten zu unterstützen.
- Eine Regel für den Benutzerzugriff vom Gerätetyp Webbrowser für den Zugriff auf das Hub-Portal von einem beliebigen Webbrowser aus.
- Eine Regel für Benutzer auf nicht verwalteten Geräten, um auf Ressourcen zuzugreifen.
Wenn sich Benutzer mit einem der Geräte bei der Workspace ONE Intelligent Hub-App anmelden, werden sie gemäß der für den Gerätetyp konfigurierten Authentifizierungsmethode authentifiziert. Nachdem der Benutzer erfolgreich authentifiziert wurde, wenn er andere Ressourcen über die Workspace ONE Intelligent Hub-App startet, wird diese Authentifizierungsmethode erkannt und der Benutzer wird nicht aufgefordert, sich erneut zu authentifizieren.
Wenn die zur Authentifizierung verwendete Authentifizierungsmethode nicht erkannt wird, wenn ein Benutzer Ressourcen aus der Workspace ONE Intelligent Hub-App startet, wird der Benutzer aufgefordert, sich entsprechend der Regel zu authentifizieren, die Benutzern den Zugriff auf Inhalte aus dem Gerätetyp Apps auf Workspace ONE Intelligent Hub ermöglicht.
Beispiel für die Bedingungen der Zugriffsrichtlinienregel, die für Workspace ONE verwendet werden
Für eine optimale Benutzererfahrung sollten Sie den Gerätetyp Apps auf Workspace ONE Intelligent Hub als erste Regel in der Standardzugriffsrichtlinie angeben. Wenn die Regel zum ersten Mal gilt, werden die Benutzer bei der Anwendung angemeldet und können Ressourcen ohne erneute Authentifizierung starten, bis die Sitzung abläuft.
1. Erstellen Sie Regeln für jedes Gerät, das für den Zugriff auf die Workspace ONE Intelligent Hub-App verwendet werden kann. Dieses Beispiel bezieht sich auf die Regel für den Zugriff aus dem Gerätetyp iOS.
- Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
- Benutzer können auf den Inhalt von iOS zugreifen.
- Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
- Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
- Authentifizieren Sie sich mit Mobiles SSO (für iOS) und Geräte-Compliance (mit Workspace ONE UEM).
- Fallback-Methode 1: Kennwort (Cloud-Bereitstellung).
- Erneute Authentifizierung der Sitzung nach 8 Stunden.
2. Legen Sie die Regel für den Gerätetyp „Apps auf Workspace ONE Intelligent Hub“ an. Jede für die Geräte in Schritt 1 konfigurierte Authentifizierungsmethode muss in der Regel enthalten sein.
- Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
- Benutzer können über Apps auf Workspace ONE Intelligent Hub auf den Inhalt zugreifen.
- Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
- Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
- Authentifizieren Sie sich mit Mobiles SSO (für iOS) und Geräte-Compliance (mit Workspace ONE UEM).
- Fallback-Methode 1: Mobiles SSO (für Android) und Geräte-Compliance (mit Workspace ONE UEM).
- Fallback-Methode 2: Kennwort (Cloud-Bereitstellung).
- Wiederholung der Sitzung nach 2160 Stunden.
2160 Stunden entspricht 90 Tagen.
3. Erstellen Sie die Regel für den Gerätetyp Webbrowser, um von einem beliebigen Webbrowser auf das Hub-Portal zuzugreifen. Dieses Beispiel beinhaltet als Fallback die Authentifizierungsmethode Kennwort (lokales Verzeichnis). Für Authentifizierungssystemadministratoren, die sich anmelden, muss mindestens eine Regel für die Authentifizierung mit Kennwort (lokales Verzeichnis) konfiguriert sein. Die Sitzung endet nach 24 Stunden.
- Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
- Benutzer können über den Webbrowser auf die Inhalte zugreifen.
- Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
- Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
- Authentifizierung mit Kennwort (Cloud-Bereitstellung).
- Fallback-Methode 2: Kennwort.
- Fallback-Methode 3: Kennwort (lokales Verzeichnis).
- Erneute Authentifizierung der Sitzung nach 8 Stunden.
4. Erstellen Sie die Regel für alle Gerätetypen, um auf nicht verwaltete Ressourcen zuzugreifen.
- Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
- Benutzer können mit der Option Alle Geräte auf den Inhalt zugreifen.
- Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
- Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
- Authentifizierung mit Kennwort (Cloud-Bereitstellung).
- Erneute Authentifizierung der Sitzung nach 8 Stunden.
Wenn Sie Regeln für jeden Gerätetyp, Apps auf Workspace ONE Intelligent Hub und Webbrowser erstellen, sieht der Standardrichtliniensatz wie im folgenden Screenshot aus.
Ablauf mit dieser Standardzugriffsrichtlinie konfiguriert.
- UserA meldet sich von seinem iOS-Gerät bei der Workspace ONE Intelligent Hub-App an und wird aufgefordert, sich mit Mobiles SSO (für iOS) zu authentifizieren. Die dritte Regel ist „Mobile SSO (für iOS)“ und die Authentifizierung ist erfolgreich.
- UserA startet eine in der Workspace ONE Intelligent Hub-App aufgeführte Ressource und da die Regel mit dem Gerätetyp „Apps auf Workspace ONE Intelligent Hub“ die Authentifizierungsmethode „Mobile SSO (für iOS)“ als Fallback-Authentifizierungsmethode enthält, wird die Ressource ohne erneute Authentifizierungsanforderung gestartet. Der Benutzer kann 2160 Stunden lang Ressourcen starten, ohne sich erneut anmelden zu müssen.
Weitere Informationen finden Sie unter „Konfigurieren einer Zugriffsrichtlinienregel für die Compliance-Überprüfung“.