Cree reglas de la directiva de acceso que especifiquen los criterios que deben cumplirse para acceder al portal de Workspace ONE y las aplicaciones autorizadas como un todo. Se pueden crear también directivas de acceso específicas de aplicación con reglas para administrar el acceso de los usuarios a determinadas aplicaciones de escritorio y web.
Rango de redes
Las direcciones de red se asignan a la regla de directiva de acceso para administrar el acceso de usuario en función de la dirección IP que se utiliza para iniciar sesión y acceder a las aplicaciones. Cuando se configura el servicio de Workspace ONE Access de forma local, se pueden configurar rangos de direcciones IP de redes para el acceso a la red interna y el acceso a la red externa. A continuación, puede crear diferentes reglas en función del rango de redes configurado en la regla.
Los rangos de redes se configuran desde la pestaña Administración de acceso e identidad, página Administrar > Directivas > Rangos de redes antes de configurar las reglas de la directiva de acceso.
Cada instancia del proveedor de identidades de la implementación está configurada para vincular rangos de redes con métodos de autenticación. Cuando configure una regla de directiva, asegúrese de que el rango de redes que seleccione quede cubierto por una instancia de proveedor de identidades existente.
Tipo de dispositivo
Las reglas de la directiva de acceso están configuradas para administrar el tipo de dispositivo utilizado para acceder al portal y a los recursos. Entre los dispositivos que se pueden especificar se incluyen los dispositivos móviles con iOS y Android, los equipos que ejecutan los sistemas operativos Windows 10 o macOS, el navegador web, la aplicación Workspace ONE & Intelligent Hub y Todos los tipos de dispositivos.
La regla de directiva con el tipo de dispositivo aplicación Workspace ONE & Intelligent Hub define la directiva de acceso para iniciar aplicaciones desde la aplicación Workspace ONE o Intelligent Hub después de iniciar sesión desde un dispositivo. Cuando esta regla es la primera de la lista de directivas, una vez que los usuarios estén autenticados, podrán permanecer conectados a la aplicación y acceder a sus recursos por un máximo de 90 días según la configuración predeterminada.
La regla de directiva con el tipo de dispositivo Navegador web define una directiva de acceso mediante cualquier tipo de navegador web, independientemente de los tipos de hardware de dispositivo y sistemas de operaciones.
La regla de directiva con el tipo de dispositivo Todos los tipos de dispositivos se adecua a todos los casos de acceso.
Cuando la aplicación Workspace ONE o Intelligent Hub se utiliza para acceder a las aplicaciones, los tipos de dispositivos se organizan en la directiva establecida con el tipo de dispositivo de la aplicación Workspace ONE como primera regla, seguida de los dispositivos móviles, Windows y macOS, los tipos de dispositivos del navegador web y todos los tipos de dispositivos que se muestran en último lugar. Todos los tipos de dispositivos se enumera en último lugar. El orden en el que aparecen las reglas indica el orden en el que se aplican. Cuando un tipo de dispositivo coincide con el método de autenticación, se omiten las reglas siguientes. Si la regla de la aplicación Workspace ONE en el tipo de dispositivo no es la primera regla de la lista de directivas, los usuarios no están conectados a la aplicación Workspace ONE durante el período extendido. Consulte Aplicar reglas de aplicación Workspace ONE a las directivas de acceso.
Agregar grupos
Puede aplicar diferentes reglas de autenticación según la afiliación a grupos. Los grupos pueden ser grupos sincronizados desde el directorio empresarial y grupos locales creados en la consola de Workspace ONE Access.
Cuando los grupos se asignan a una regla de directiva de acceso, se solicita a los usuarios que introduzcan su identificador único y, a continuación, se solicita que introduzcan la autenticación en función de la regla de directiva de acceso. Consulte Experiencia de inicio de sesión con identificador único en la guía de administración de Workspace ONE Access. De forma predeterminada, el identificador único es userName. Vaya a la página Administración de acceso e identidad > Instalación > Preferencias para ver el valor de identificador único configurado o para cambiar el identificador.
Acciones administradas por reglas
Una regla de directiva de acceso puede configurarse para permitir o denegar el acceso a los recursos y el área de trabajo. Cuando se configura una directiva para proporcionar acceso a aplicaciones específicas, también se puede especificar la acción para permitir el acceso a la aplicación sin que se requiera una autenticación adicional. Para que esta acción pueda llevarse a cabo, el usuario ya está autenticado a través de la directiva de acceso predeterminada.
De forma selectiva, puede emplear condiciones en la regla que se aplica a la acción, tales como qué redes, tipos de dispositivos y grupos se incluirán, y el estado de inscripción y cumplimiento del dispositivo. Cuando la acción es denegar el acceso, los usuarios no pueden iniciar sesión ni iniciar aplicaciones desde el rango de redes y el tipo de dispositivo configurados en la regla.
Métodos de autenticación
Los métodos de autenticación que están configurados en el servicio de Workspace ONE Access se aplican para acceder a las reglas de la directiva de acceso. Para cada regla, se selecciona el tipo de métodos de autenticación que se va a usar para comprobar la identidad de los usuarios que inician sesión en Workspace ONE o acceden a una aplicación. Se puede seleccionar más de un método de autenticación en una regla.
Los métodos de autenticación se aplican en el orden en el que se muestran en la regla. Se selecciona la primera instancia del proveedor de identidades que cumple la configuración del rango de redes y el método de autenticación de la regla. La solicitud de autenticación del usuario se reenvía a la instancia del proveedor de identidades para la autenticación. En caso de error de autenticación, se selecciona el siguiente método de autenticación de la lista.
Puede configurar un encadenamiento de autenticación en una regla de directiva de acceso para solicitar a los usuarios que pasen credenciales a través de más de uno de los métodos de autenticación antes de poder iniciar sesión. Se configuran dos condiciones de autenticación en una regla y el usuario debe responder correctamente a ambas solicitudes de autenticación. Por ejemplo, si establece en la configuración de la autenticación Contraseña y VMware Verify, los usuarios deben introducir su contraseña y el código de acceso de VMware Verify para poder autenticarse.
Se puede configurar una autenticación de reserva para que los usuarios que no logran pasar la solicitud de autenticación anterior puedan iniciar sesión de otra forma. Si es imposible autenticar un usuario con un método de autenticación y también se configuraron métodos de reserva, se solicita a los usuarios que introduzcan sus credenciales para los métodos de autenticación adicionales que estén configurados. En los dos siguientes escenarios se describe cómo funciona esta reserva.
- En el primer escenario, se configura la regla de directiva de acceso para que solicite que los usuarios se autentiquen con su contraseña y el código de acceso de VMware Verify. Se configuró la autenticación de reserva de forma que solicite la contraseña y la credencial de RADIUS para la autenticación. Un usuario escribe la contraseña correctamente, pero no introduce el código de acceso de VMware Verify correcto. Como el usuario escribió la contraseña correcta, la solicitud de autenticación de reserva corresponde solo a la credencial de RADIUS. No es necesario que el usuario vuelva a escribir la contraseña.
- En el segundo escenario, se configura la regla de directiva de acceso para que solicite que los usuarios se autentiquen con su contraseña y el código de acceso de VMware Verify. Se configuró la autenticación de reserva de forma que solicite RSA SecurID y RADIUS para la autenticación. Un usuario escribe la contraseña correctamente, pero no introduce el código de acceso de VMware Verify correcto. La solicitud de autenticación de reserva se utiliza tanto para la credencial de RSA SecurID como para la de RADIUS para la autenticación.
Para configurar que una regla de directiva de acceso solicite la autenticación y la verificación del cumplimiento normativo del dispositivo para los dispositivos administrados por Workspace ONE UEM, se debe habilitar el Cumplimiento normativo del dispositivo con AirWatch en la página del proveedor de identidades integrado. Consulte Habilitar la comprobación de cumplimiento para dispositivos administrados por Workspace ONE UEM. Los métodos de autenticación del proveedor de identidades integrado que se pueden encadenar con el cumplimiento normativo del dispositivo con AirWatch son SSO móvil (para iOS), SSO móvil (para Android) o Certificado (implementación en la nube).
Cuando se utiliza VMware Verify para la autenticación de dos factores, VMware Verify es el segundo método de autenticación en la cadena de autenticación. Se debe habilitar VMware Verify en la página del proveedor de identidades integrado. Consulte Configurar VMware Verify para la autenticación en dos fases.
Duración de la sesión de autenticación
Para cada regla, debe establecer el número de horas que resulta válida esta autenticación. El valor Volver a autenticar después de determina el tiempo máximo que los usuarios tienen desde el último evento de autenticación para acceder a su portal o abrir una aplicación concreta. Por ejemplo, un valor de 8 en una regla de aplicación web significa que una vez autenticados, los usuarios no necesitan volver a autenticar de nuevo por 8 horas.
El ajuste de la regla de directiva Volver a autenticar después de no controla las sesiones de las aplicaciones. El ajuste controla el tiempo tras el cual los usuarios deben volver a autenticarse.
Mensaje de error personalizado de acceso denegado
Cuando los usuarios intentan iniciar sesión y se produce un error porque las credenciales no son válidas, la configuración no es correcta o se produce un error en el sistema, se mostrará un mensaje de acceso denegado. El mensaje predeterminado es Se ha denegado el acceso, ya que no se han encontrado métodos de autenticación válidos.
Puede crear un mensaje de error personalizado que anule el mensaje predeterminado para cada regla de directiva de acceso. El mensaje personalizado puede incluir texto y un vínculo de un mensaje de llamada a una acción. Por ejemplo, en una regla de directiva para restringir el acceso a dispositivos inscritos, puede crear el siguiente mensaje de error personalizado si un usuario intenta iniciar sesión desde un dispositivo que no está inscrito. Registre su dispositivo para acceder a los recursos corporativos. Para ello, haga clic en el vínculo que encontrará al final de este mensaje. Si su dispositivo ya está registrado, póngase en contacto con el equipo de soporte técnico para obtener ayuda.