Um Single-Sign-On zu ermöglichen, wenn Benutzer von der Workspace ONE-App auf Ressourcen zugreifen, wird die Standardzugriffsrichtlinie mit Regeln für jeden Gerätetyp konfiguriert, der in Ihrer Umgebung, Android, iOS, Mac OS oder Windows 10 verwendet wird. Außerdem legen Sie eine Regel für den Gerätetyp Workspace ONE-App an.

In diesem Beispiel einer Standardzugriffsrichtlinienkonfiguration wird die Standardzugriffsrichtlinie mit Regeln für Benutzer erstellt, die sich aus allen Netzwerkbereichen anmelden. Die folgenden Regeln werden erstellt.

  • Eine Regel für jedes Gerät, das für den Zugriff auf die Workspace ONE-App verwendet werden kann.
  • Eine Regel für den Benutzerzugriff vom Gerätetyp Workspace ONE-App. Jede für die Geräte konfigurierte Authentifizierungsmethode muss in der Regel enthalten sein.
  • Eine Regel für den Benutzerzugriff über den Gerätetyp Webbrowser, um von jedem Webbrowser aus auf Workspace ONE zuzugreifen.

Die Regel für den Gerätetyp Workspace ONE-App ist mit allen Authentifizierungsmethoden konfiguriert, die für den Zugriff auf die Workspace ONE-App verwendet werden können. Eine Authentifizierungsmethode wird zuerst zugewiesen und die anderen Authentifizierungsmethoden werden als Fallback-Authentifizierungstypen konfiguriert. Wenn sich Benutzer mit einem der Geräte bei der Workspace ONE-App anmelden, werden sie gemäß der für den Gerätetyp konfigurierten Authentifizierungsmethode authentifiziert. Nachdem der Benutzer erfolgreich authentifiziert wurde, wenn er andere Ressourcen vom Workspace ONE-Anwendungsbildschirm aus startet, wird diese Authentifizierungsmethode erkannt und der Benutzer wird nicht aufgefordert, sich erneut zu authentifizieren. Wenn die Authentifizierungsmethode, die zur Authentifizierung bei Workspace ONE verwendet wird, nicht erkannt wurde, wird der Benutzer beim Start von Ressourcen aus der Workspace ONE-App aufgefordert, sich gemäß der Workspace ONE-App-Regel zu authentifizieren.

Für eine optimale Benutzererfahrung sollten Sie den Gerätetyp Workspace ONE-App als erste Regel in der Standardzugriffsrichtlinie angeben. Wenn die Regel zum ersten Mal gilt, werden die Benutzer bei der Anwendung angemeldet und können Ressourcen ohne erneute Authentifizierung starten, bis die Sitzung abläuft.

1. Erstellen Sie Regeln für jedes Gerät, das für den Zugriff auf Workspace ONE genutzt werden kann. Dieses Beispiel bezieht sich auf die Regel für den Zugriff aus dem Gerätetyp iOS.

  • Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
  • Benutzer können auf den Inhalt von iOS zugreifen.
  • Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
  • Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
    • Authentifizierung mithilfe von Mobile SSO (für iOS).
    • Fallback-Methode 1: Kennwort (Cloud-Bereitstellung).
    • Fallback-Methode 2: Geräte-Compliance (mit AirWatch).
  • Erneute Authentifizierung der Sitzung nach 8 Stunden.

2. Legen Sie die Regel für den Gerätetyp Workspace ONE-App an. Jede für die Geräte konfigurierte Authentifizierungsmethode muss in der Regel enthalten sein.

  • Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
  • Benutzer können auf den Inhalt der Workspace ONE-App zugreifen.
  • Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
  • Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
    • Authentifizierung mithilfe von Mobile SSO (für iOS).
    • Fallback-Methode 1: Mobile SSO (für Android).
    • Fallback-Methode 2: Kennwort (Cloud-Bereitstellung).
    • Fallback-Methode 3: Geräte-Compliance (mit AirWatch).
  • Wiederholung der Sitzung nach 2160 Stunden.

2160 Stunden entspricht 90 Tagen, das ist der Wert für „OAuth token refresh token time to live“ der Workspace ONE-App. Siehe Anwenden von Workspace ONE-App-Regeln auf Zugriffsrichtlinien.

3. Erstellen Sie die Regel für den Gerätetyp Webbrowser, um von einem beliebigen Webbrowser aus auf Workspace ONE zuzugreifen. Dieses Beispiel beinhaltet als Fallback die Authentifizierungsmethode Kennwort (lokales Verzeichnis). Für Authentifizierungssystemadministratoren, die sich anmelden, muss mindestens eine Regel für die Authentifizierung mit Kennwort (lokales Verzeichnis) konfiguriert sein. Die Sitzung endet nach 24 Stunden.

  • Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
  • Benutzer können über den Webbrowser auf die Inhalte zugreifen.
  • Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
  • Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
    • Authentifizierung mit Kennwort (Cloud-Bereitstellung).
    • Fallback-Methode 2: Kennwort.
    • Fallback-Methode 3: Kennwort (lokales Verzeichnis).
  • Erneute Authentifizierung der Sitzung nach 8 Stunden.

Wenn Sie Regeln für alle Geräte, Workspace ONE-App und Webbrowser erstellen, sieht Ihr Standard-Richtliniensatz wie der folgende Screenshot aus.

Abbildung 1. Standardrichtlinie mit Workspace ONE-App zuerst aufgelistet

Ablauf mit dieser Standardzugriffsrichtlinie konfiguriert.

  1. UserA meldet sich von seinem iOS-Gerät bei der Workspace ONE-App an und wird aufgefordert, sich bei Mobile SSO (für iOS) zu authentifizieren. Die Authentifizierung ist erfolgreich.
  2. UserA startet eine Ressource, die in der Workspace ONE-App aufgelistet ist, und da die Workspace ONE-App-Regel die Authentifizierungsmethode Mobile SSO (für iOS) als Fallback-Authentifizierungsmethode enthält, wird die Ressource ohne erneute Anforderung der Authentifizierung gestartet. Der Benutzer kann Ressourcen starten, ohne sich erneut für 2160 Stunden bei Workspace ONE anzumelden.