Para obtener la experiencia de Single Sign-On cuando los usuarios acceden a los recursos de la aplicación Workspace ONE, la directiva de acceso predeterminada se configura con las reglas para cada tipo de dispositivo que se utiliza en el entorno, Android, iOS, MacOS o Windows 10.

En este ejemplo de una configuración de directiva de acceso predeterminada, dicha directiva se crea con las reglas para incluir a los usuarios que inician sesión desde todos los rangos de redes. Para el acceso administrado, el cumplimiento normativo del dispositivo para AirWatch está configurado para los dispositivos y las reglas de la aplicación Workspace ONE. Se crean las siguientes reglas.

  • Una regla para cada tipo de dispositivo móvil que pueda utilizarse para acceder a la aplicación Intelligent Hub.
  • Una regla para el acceso de usuario desde el tipo de dispositivo Aplicación Workspace ONE para la aplicación Intelligent Hub. Todos los métodos de autenticación de todos los dispositivos compatibles se configuran en esta regla. Se aplica el método de autenticación de cumplimiento normativo del dispositivo para admitir el acceso desde dispositivos administrados.
  • Una regla para el acceso de usuario desde el tipo de dispositivo del navegador web para acceder a Workspace ONE desde cualquier navegador web.
  • Una regla para que los usuarios de los dispositivos no administrados accedan a los recursos.

Cuando los usuarios utilizan uno de los dispositivos para iniciar sesión en la aplicación Workspace ONE, se autentican según el método de autenticación configurado para el tipo de dispositivo. Después de que el usuario se haya autenticado correctamente cuando inicie otros recursos de la pantalla de la aplicación Intelligent Hub, ese método de autenticación se reconocerá y no se solicitará al usuario volver a autenticarse.

Si no se reconoce el método de autenticación utilizado para autenticarse en Workspace ONE, cuando un usuario inicia los recursos de la aplicación Intelligent Hub, se le solicita autenticarse según la regla de la aplicación Workspace ONE.

Ejemplo de condiciones de regla de directiva de acceso para usar para Workspace ONE

Para lograr una mejor experiencia de usuario, establezca el tipo de dispositivo Aplicación Workspace ONE como la primera regla de la directiva de acceso predeterminada. Cuando la regla es la primera, los usuarios inician sesión en la aplicación y pueden iniciar los recursos sin volver a autenticarse hasta que caduque la sesión.

1. Cree reglas para cada dispositivo que pueda utilizarse para acceder a Workspace ONE. Este es un ejemplo de la regla para permitir el acceso desde el tipo de dispositivo iOS.

  • El rango de redes es TODOS LOS RANGOS.
  • Los usuarios pueden acceder al contenido desde iOS.
  • No se agregan grupos a la regla de directiva. Todos los usuarios son compatibles.
  • Configure todos los métodos de autenticación que sean compatibles.
    • Realice la autenticación con SSO móvil (para iOS) y Cumplimiento normativo del dispositivo (con AirWatch).
    • Método de reserva 1: contraseña (implementación en la nube).
  • Volver a autenticar la sesión después de 8 horas.

2. Cree la regla para el tipo de dispositivo aplicación Workspace ONE. Cada método de autenticación configurado para los dispositivos en el paso 1 debe incluirse en esta regla.

  • El rango de redes es TODOS LOS RANGOS.
  • Los usuarios pueden acceder al contenido desde la Aplicación Workspace ONE.
  • No se agregan grupos a la regla de directiva. Todos los usuarios son compatibles.
  • Configure todos los métodos de autenticación que sean compatibles.
    • Realice la autenticación con SSO móvil (para iOS) y Cumplimiento normativo del dispositivo (con AirWatch).
    • Método de reserva 1: SSO móvil (para Android) y Cumplimiento normativo del dispositivo (con AirWatch).
    • Método de reserva 2: contraseña (implementación en la nube).
  • Volver a autenticar la sesión después de 2160 horas.

2160 horas es igual a 90 días, que es el tiempo de vida del token de actualización de token de OAuth de la aplicación Workspace ONE.

3. Cree la regla para el tipo de dispositivo del navegador web para acceder al portal de Workspace ONE desde cualquier navegador web. En este ejemplo se incluye como reserva el método de autenticación Contraseña (directorio local). Para los administradores de sistemas de autenticación que inicien sesión, se debe configurar al menos una regla para la autenticación a través de Contraseña (directorio local). El tiempo de espera de la sesión se agota después de 24 horas.

  • El rango de redes es TODOS LOS RANGOS.
  • Los usuarios pueden acceder al contenido desde el Navegador web.
  • No se agregan grupos a la regla de directiva. Todos los usuarios son compatibles.
  • Configure todos los métodos de autenticación que sean compatibles.
    • Autenticar con Contraseña (implementación en la nube).
    • Método de reserva 2: Contraseña.
    • Método de reserva 3: Contraseña (directorio local).
  • Volver a autenticar la sesión después de 8 horas.

4. Cree la regla para todos los tipos de dispositivo para acceder a los recursos no administrados.

  • El rango de redes es TODOS LOS RANGOS.
  • Los usuarios pueden acceder al contenido desde Todos los dispositivos.
  • No se agregan grupos a la regla de directiva. Todos los usuarios son compatibles.
  • Configure todos los métodos de autenticación que sean compatibles.
    • Autenticar con Contraseña (implementación en la nube).
  • Volver a autenticar la sesión después de 8 horas.

Cuando se crean reglas para todos los dispositivos, la aplicación Workspace ONE y el navegador web, el conjunto de directivas predeterminado tiene el aspecto que se muestra en la siguiente captura de pantalla.

Figura 1. Conjunto de directivas predeterminado con la aplicación Workspace ONE en primer lugar

Flujo con esta directiva de acceso predeterminada configurada.

  1. El usuario A inicia sesión en la aplicación Intelligent Hub desde su dispositivo iOS y se le pide que se autentique con SSO móvil (para iOS). La tercera regla es SSO móvil (para iOS) y la autenticación se realiza correctamente.
  2. El usuario inicia un recurso que aparece en la aplicación Workspace ONE y, debido a que la regla de la aplicación Workspace ONE incluye el método de autenticación SSO móvil (para iOS) como método de autenticación de reserva, el recurso se inicia sin que se solicite la autenticación nuevamente. El usuario puede iniciar recursos sin iniciar sesión en Workspace ONE nuevamente por 2160 horas.

Consulte también Configurar una regla de directiva de acceso para la comprobación de cumplimiento normativo.