Damit Benutzer beim Zugriff auf Ressourcen über die Workspace ONE-App Single Sign-On nutzen können, wird die Standardzugriffsrichtlinie mit Regeln für jeden Gerätetyp in Workspace ONE Access konfiguriert, der in Ihrer Umgebung, Android, iOS, MacOS oder Windows 10 verwendet wird.

In diesem Beispiel einer Standardzugriffsrichtlinienkonfiguration wird die Standardzugriffsrichtlinie mit Regeln für Benutzer erstellt, die sich aus allen Netzwerkbereichen anmelden. Für den verwalteten Zugriff wird Geräte-Compliance für AirWatch für die Geräte und die Workspace ONE-App-Regeln konfiguriert. Die folgenden Regeln werden erstellt.

  • Eine Regel für alle Gerätetypen, die für den Zugriff auf die Intelligent Hub-App verwendet werden können.
  • Eine Regel für den Benutzerzugriff vom Gerätetyp „Workspace ONE-App“ für die Intelligent Hub-App. Alle Authentifizierungsmethoden für alle unterstützten Geräte werden in dieser Regel konfiguriert. Die Authentifizierungsmethode für die Geräte-Compliance wird angewendet, um den Zugriff von verwalteten Geräten zu unterstützen.
  • Eine Regel für den Benutzerzugriff über den Gerätetyp Webbrowser, um von jedem Webbrowser aus auf Workspace ONE zuzugreifen.
  • Eine Regel für Benutzer auf nicht verwalteten Geräten, um auf Ressourcen zuzugreifen.

Wenn sich Benutzer mit einem der Geräte bei der Workspace ONE-App anmelden, werden sie gemäß der für den Gerätetyp konfigurierten Authentifizierungsmethode authentifiziert. Nachdem der Benutzer erfolgreich authentifiziert wurde, wenn er andere Ressourcen vom Intelligent Hub-Anwendungsbildschirm aus startet, wird diese Authentifizierungsmethode erkannt und der Benutzer wird nicht aufgefordert, sich erneut zu authentifizieren.

Wenn die Authentifizierungsmethode, die zur Authentifizierung bei Workspace ONE verwendet wird, nicht erkannt wurde, wird der Benutzer beim Start von Ressourcen aus der Intelligent Hub-App aufgefordert, sich gemäß der Workspace ONE-App-Regel zu authentifizieren.

Beispiel für die Bedingungen der Zugriffsrichtlinienregel, die für Workspace ONE verwendet werden

Für eine optimale Benutzererfahrung sollten Sie den Gerätetyp Workspace ONE-App als erste Regel in der Standardzugriffsrichtlinie angeben. Wenn die Regel zum ersten Mal gilt, werden die Benutzer bei der Anwendung angemeldet und können Ressourcen ohne erneute Authentifizierung starten, bis die Sitzung abläuft.

1. Erstellen Sie Regeln für jedes Gerät, das für den Zugriff auf Workspace ONE genutzt werden kann. Dieses Beispiel bezieht sich auf die Regel für den Zugriff aus dem Gerätetyp iOS.

  • Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
  • Benutzer können auf den Inhalt von iOS zugreifen.
  • Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
  • Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
    • Authentifizieren Sie sich mit Mobile SSO (für iOS) und Geräte-Compliance (mit AirWatch).
    • Fallback-Methode 1: Kennwort (Cloud-Bereitstellung).
  • Erneute Authentifizierung der Sitzung nach 8 Stunden.

2. Legen Sie die Regel für den Gerätetyp Workspace ONE-App an. Jede für die Geräte in Schritt 1 konfigurierte Authentifizierungsmethode muss in der Regel enthalten sein.

  • Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
  • Benutzer können auf den Inhalt der Workspace ONE-App zugreifen.
  • Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
  • Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
    • Authentifizieren Sie sich mit Mobile SSO (für iOS) und Geräte-Compliance (mit AirWatch).
    • Fallback-Methode 1: Mobile SSO (für Android) und Geräte-Compliance (mit AirWatch).
    • Fallback-Methode 2: Kennwort (Cloud-Bereitstellung).
  • Wiederholung der Sitzung nach 2160 Stunden.

2160 Stunden entspricht 90 Tagen, das ist der Wert für „OAuth token refresh token time to live“ der Workspace ONE-App.

3. Erstellen Sie die Regel für den Gerätetyp Webbrowser, um von einem beliebigen Webbrowser aus auf das Workspace ONE-Portal zuzugreifen. Dieses Beispiel beinhaltet als Fallback die Authentifizierungsmethode Kennwort (lokales Verzeichnis). Für Authentifizierungssystemadministratoren, die sich anmelden, muss mindestens eine Regel für die Authentifizierung mit Kennwort (lokales Verzeichnis) konfiguriert sein. Die Sitzung endet nach 24 Stunden.

  • Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
  • Benutzer können über den Webbrowser auf die Inhalte zugreifen.
  • Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
  • Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
    • Authentifizierung mit Kennwort (Cloud-Bereitstellung).
    • Fallback-Methode 2: Kennwort.
    • Fallback-Methode 3: Kennwort (lokales Verzeichnis).
  • Erneute Authentifizierung der Sitzung nach 8 Stunden.

4. Erstellen Sie die Regel für alle Gerätetypen, um auf nicht verwaltete Ressourcen zuzugreifen.

  • Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
  • Benutzer können mit der Option Alle Geräte auf den Inhalt zugreifen.
  • Der Regel werden keine Richtlinienregeln hinzugefügt. Alle Benutzer werden unterstützt.
  • Konfigurieren Sie alle unterstützten Authentifizierungsmethoden.
    • Authentifizierung mit Kennwort (Cloud-Bereitstellung).
  • Erneute Authentifizierung der Sitzung nach 8 Stunden.

Wenn Sie Regeln für alle Geräte, Workspace ONE-App und Webbrowser erstellen, sieht Ihr Standard-Richtliniensatz wie der folgende Screenshot aus.

Abbildung 1. Standardrichtlinie mit Workspace ONE-App zuerst aufgelistet

Ablauf mit dieser Standardzugriffsrichtlinie konfiguriert.

  1. UserA meldet sich von seinem iOS-Gerät bei der Intelligent Hub-App an und wird aufgefordert, sich bei Mobile SSO (für iOS) zu authentifizieren. Die dritte Regel ist „Mobile SSO (für iOS)“ und die Authentifizierung ist erfolgreich.
  2. UserA startet eine Ressource, die in der Workspace ONE-App aufgelistet ist, und da die Workspace ONE-App-Regel die Authentifizierungsmethode Mobile SSO (für iOS) als Fallback-Authentifizierungsmethode enthält, wird die Ressource ohne erneute Anforderung der Authentifizierung gestartet. Der Benutzer kann Ressourcen starten, ohne sich erneut für 2160 Stunden bei Workspace ONE anzumelden.

Weitere Informationen finden Sie unter „Konfigurieren einer Zugriffsrichtlinienregel für die Compliance-Überprüfung“.