Una directiva contiene una o más reglas de acceso. Cada regla consta de opciones que puede configurar para administrar el acceso de los usuarios a todo el portal de Workspace ONE o a las aplicaciones de escritorio y web específicas.
Se puede configurar una regla de directiva para realizar acciones como bloquear, permitir o autenticar a un nivel superior los usuarios en función de condiciones como la red, el tipo de dispositivo, la inscripción de dispositivos de AirWatch y el estado de cumplimiento, o la aplicación a la que se desea obtener acceso. Es posible agregar grupos a una directiva para administrar la autenticación en grupos específicos.
Rango de redes
Para cada regla, determine la base de usuarios especificando un rango de redes. Un rango de redes está compuesto por uno o varios rangos de IP. Los rangos de redes se crean en la pestaña Administración de acceso e identidades, dentro de la página Configuración > Rangos de redes antes de configurar los grupos de directivas de acceso.
Cada instancia del proveedor de identidades de su implementación vincula rangos de redes con métodos de autenticación. Cuando configure una regla de política, asegúrese de que el rango de redes quede cubierto por una instancia de proveedor de identidades existente.
Puede configurar rangos de redes concretos para restringir desde dónde pueden iniciar sesión los usuarios y acceder a sus aplicaciones.
Tipo de dispositivo
Seleccione el tipo de dispositivo que administra la regla. Los tipos de cliente son Navegador web, Aplicación Workspace ONE, iOS, Android, Windows 10, Mac OS X y Todos los tipos de dispositivos.
Puede configurar reglas para designar qué tipo de dispositivo puede acceder al contenido y todas las solicitudes de autenticación que provienen de dicho tipo de dispositivo utilizarán la regla de la directiva.
Agregar grupos
Puede aplicar diferentes directivas para la autenticación basada en la afiliación de un usuario a un grupo. Para asignar grupos de usuarios que inicien sesión a través de un flujo de autenticación específico, puede agregar grupos a la regla de directiva de acceso. Los grupos pueden ser grupos sincronizados del directorio empresarial y grupos locales creados en la consola de administración. Los nombres de grupo deben ser únicos dentro de un dominio.
Para utilizar grupos en las reglas de directiva de acceso, seleccione un identificador único de la página Administración de acceso e identidad > Preferencias. Se debe asignar el atributo de identificador único en la página Atributos de usuario y se debe sincronizar el atributo seleccionado con el directorio. El identificador único puede ser un nombre de usuario, una dirección de correo electrónico, UPN o ID de empleado. Consulte Experiencia de inicio de sesión con identificador único.
Cuando se utilizan grupos en una regla de directiva de acceso, la experiencia de inicio de sesión para el usuario cambia. En lugar de solicitar a los usuarios que seleccionen su dominio y, a continuación, escriban sus credenciales, se muestra una página donde se les solicita especificar su identificador único. VMware Identity Manager busca el usuario en la base de datos interna, según el identificador único, y muestra la página de autenticación configurada en esa regla.
Cuando no se selecciona un grupo, la regla de directiva de acceso se aplica a todos los usuarios. Al configurar reglas de directiva de acceso donde se incluyen reglas basadas en grupos y una regla para todos los usuarios, asegúrese de que la regla designada para todos los usuarios sea la última regla enumerada en la sección Reglas de directiva de la directiva.
Métodos de autenticación
En la regla de la directiva, debe establecer el orden en el que se aplican los métodos de autenticación. Los métodos de autenticación se aplican en el orden en que se muestran. Se selecciona la primera instancia del proveedor de identidades que cumple la configuración del rango de red y del método de autenticación de la directiva. La solicitud de autenticación del usuario se reenvía a la instancia del proveedor de identidades para la autenticación. En caso de error de autenticación, se selecciona el siguiente método de autenticación de la lista.
Duración de la sesión de autenticación
Para cada regla, debe establecer el número de horas que resulta válida esta autenticación. El valor Volver a autenticar después de: determina el tiempo que los usuarios tienen desde el último evento de autenticación para acceder a su portal o iniciar una aplicación concreta. Por ejemplo, el valor 4 en una regla de aplicación web proporciona a los usuarios cuatro horas para iniciar la aplicación web, a menos que inicien otro evento de autenticación que prolongue la duración.
Mensaje de error personalizado de acceso denegado
Cuando los usuarios intentan iniciar sesión y se produce un error porque las credenciales no son válidas, la configuración no es correcta o se produce un error en el sistema, se mostrará un mensaje de acceso denegado. El mensaje predeterminado es Se ha denegado el acceso, ya que no se han encontrado métodos de autenticación válidos.
Puede crear un mensaje de error personalizado para cada regla de la directiva de acceso para anular el mensaje predeterminado. El mensaje personalizado puede incluir texto y un vínculo de un mensaje de llamada a la acción. Por ejemplo, en la regla de la directiva para dispositivos móviles que desee administrar, puede crear el siguiente mensaje de error personalizado si un usuario intenta iniciar sesión desde un dispositivo que no esté registrado. Registre su dispositivo para acceder a los recursos corporativos. Para ello, haga clic en el vínculo que encontrará al final de este mensaje. Si su dispositivo ya está registrado, póngase en contacto con el equipo de soporte técnico para obtener ayuda.