Las reglas de directiva de acceso se crean para especificar los criterios que los usuarios deben cumplir para acceder al área de trabajo de Workspace ONE y a las aplicaciones para las que estén autorizados. Se pueden crear también directivas de acceso específicas de aplicación con reglas para administrar el acceso de los usuarios a determinadas aplicaciones de escritorio y web.

Rango de redes

Las direcciones de red se asignan a la regla de directiva de acceso para administrar el acceso de usuario en función de la dirección IP que se utiliza para iniciar sesión y acceder a las aplicaciones. Cuando se configura el servicio de Workspace ONE Access de forma local, se pueden configurar rangos de direcciones IP de redes para el acceso a la red interna y el acceso a la red externa. A continuación, puede crear diferentes reglas en función del rango de redes configurado en la regla.

Nota: Al configurar las direcciones de red para el servicio en la nube de Workspace ONE Access, especifique la dirección pública del arrendatario de Workspace ONE Access utilizada para acceder a la red interna.

Los rangos de redes se configuran desde la pestaña Administración de acceso e identidad, página Administrar > Directivas > Rangos de redes antes de configurar las reglas de la directiva de acceso.

Cada instancia del proveedor de identidades de la implementación está configurada para vincular rangos de redes con métodos de autenticación. Cuando configure una regla de directiva, asegúrese de que el rango de redes que seleccione quede cubierto por una instancia de proveedor de identidades existente.

Tipo de dispositivo

Las reglas de directiva de acceso están configuradas para administrar el tipo de dispositivo utilizado para acceder al portal y a los recursos.

  • La opción Todos los tipos de dispositivos se configura en una regla de directiva aplicable a todos los casos de acceso.
  • El tipo de dispositivo Navegador web se configura en una regla de directiva para acceder al contenido desde cualquier navegador web, independientemente del tipo de hardware o sistema operativo del dispositivo.
  • El tipo de dispositivo Aplicación de Workspace ONE o aplicación de Hub se configura en una regla de directiva para acceder al contenido desde las aplicaciones Workspace ONE o Workspace ONE Intelligent Hub después de iniciar sesión en un dispositivo.
  • El tipo de dispositivo iOS se configura en una regla de directiva para acceder al contenido desde dispositivos iPhone y iPad.

    En los entornos de tenant de nube de Workspace ONE Access, el tipo de dispositivo iOS coincide con el de los dispositivos iPhone y iPad, independientemente de si la opción Solicitar sitios de escritorio está habilitada o no en la configuración de Safari.

  • El tipo de dispositivo macOS se configura para acceder al contenido desde dispositivos configurados con macOS.

    En los entornos locales, configure también el tipo de dispositivo macOS para que coincida con los dispositivos iPad que tengan habilitada la opción Solicitar sitios de escritorio en la configuración de Safari.

  • (Solo versión en la nube) El tipo de dispositivo iPad se configura en una regla de directiva para acceder al contenido desde dispositivos iPad configurados con iPadOS. Esta regla permite identificar un iPad, independientemente de si la opción Solicitar sitios de escritorio está habilitada o no en la configuración de Safari.
    Nota: Si se crea una regla de directiva de acceso para utilizar el tipo de dispositivo iPad, la regla relativa a dispositivos iPad debe aparecer antes que la regla que usa el tipo de dispositivo iOS. De lo contrario, la regla relativa al tipo de dispositivo iOS se aplicará a los dispositivos iPad que soliciten acceso. Esto es válido en iPads con iPadOS o con un iOS anterior.
  • El tipo de dispositivo Android se configura para acceder al contenido desde dispositivos Android.
  • El tipo de dispositivo Windows 10 se configura para acceder al contenido desde dispositivos Windows 10.
  • El tipo de dispositivo Inscripción de Windows 10 se configura para acceder al contenido desde dispositivos Windows 10 administrados por el servicio de Workspace ONE UEM para acceder a aplicaciones web que tienen acceso restringido.
  • El tipo de dispositivo Inscripción de dispositivo se configura para requerir la inscripción del dispositivo. Esta regla requiere que los usuarios se autentiquen en el proceso de inscripción de Workspace ONE UEM facilitado por la aplicación Workspace ONE Intelligent Hub en un dispositivo iOS o Android.

El orden en el que las reglas aparecen en la página Administración de acceso e identidad > Directivas es el orden en el que se aplican las reglas. Cuando un tipo de dispositivo coincide con el método de autenticación, se omiten las reglas siguientes. Si la regla de la aplicación Workspace ONE en el tipo de dispositivo no es la primera regla de la lista de directivas, los usuarios no están conectados a la aplicación Workspace ONE durante el período ampliado.

Agregar grupos

Puede aplicar diferentes reglas de autenticación según la afiliación a grupos. Los grupos pueden ser grupos sincronizados desde el directorio empresarial y grupos locales creados en la consola de Workspace ONE Access.

Cuando los grupos se asignan a una regla de directiva de acceso, se solicita a los usuarios que introduzcan su identificador único y, a continuación, se solicita que introduzcan la autenticación en función de la regla de directiva de acceso. Consulte Experiencia de inicio de sesión con identificador único en la guía de administración de Workspace ONE Access. De forma predeterminada, el identificador único es userName. Vaya a la página Administración de acceso e identidad > Instalación > Preferencias para ver el valor de identificador único configurado o para cambiar el identificador.

Nota: Cuando no se identifica un grupo en una regla, la regla se aplica a todos los usuarios. Cuando se configura una directiva de acceso que incluye una regla con un grupo y una regla sin ningún grupo, las reglas configuradas con un grupo deben aparecer antes que las reglas que no están configuradas con grupos.

Acciones administradas por reglas

Una regla de directiva de acceso puede configurarse para permitir o denegar el acceso a los recursos y el área de trabajo. Cuando se configura una directiva para proporcionar acceso a aplicaciones específicas, también se puede especificar la acción para permitir el acceso a la aplicación sin que se requiera una autenticación adicional. Para que esta acción pueda llevarse a cabo, el usuario ya está autenticado a través de la directiva de acceso predeterminada.

De forma selectiva, puede emplear condiciones en la regla que se aplica a la acción, tales como qué redes, tipos de dispositivos y grupos se incluirán, y el estado de inscripción y cumplimiento del dispositivo. Cuando la acción es denegar el acceso, los usuarios no pueden iniciar sesión ni iniciar aplicaciones desde el rango de redes y el tipo de dispositivo configurados en la regla.

Métodos de autenticación

Los métodos de autenticación que están configurados en el servicio de Workspace ONE Access se aplican para acceder a las reglas de la directiva de acceso. Para cada regla, se selecciona el tipo de métodos de autenticación que se va a usar para comprobar la identidad de los usuarios que inician sesión para acceder a una aplicación. Se puede seleccionar más de un método de autenticación en una regla.

Los métodos de autenticación se aplican en el orden en el que se muestran en la regla. Se selecciona la primera instancia del proveedor de identidades que cumple la configuración del rango de redes y el método de autenticación de la regla. La solicitud de autenticación del usuario se reenvía a la instancia del proveedor de identidades para la autenticación. En caso de error de autenticación, se selecciona el siguiente método de autenticación de la lista.

Puede configurar un encadenamiento de autenticación en una regla de directiva de acceso para solicitar a los usuarios que pasen credenciales a través de más de uno de los métodos de autenticación antes de poder iniciar sesión. Se configuran dos condiciones de autenticación en una regla y el usuario debe responder correctamente a ambas solicitudes de autenticación. Por ejemplo, si establece en la configuración de la autenticación Contraseña y VMware Verify, los usuarios deben introducir su contraseña y el código de acceso de VMware Verify para poder autenticarse.

Se puede configurar una autenticación de reserva para que los usuarios que no logran pasar la solicitud de autenticación anterior puedan iniciar sesión de otra forma. Si es imposible autenticar un usuario con un método de autenticación y también se configuraron métodos de reserva, se solicita a los usuarios que introduzcan sus credenciales para los métodos de autenticación adicionales que estén configurados. En los dos siguientes escenarios se describe cómo funciona esta reserva.

  • En el primer escenario, se configura la regla de directiva de acceso para que solicite que los usuarios se autentiquen con su contraseña y el código de acceso de VMware Verify. Se configuró la autenticación de reserva de forma que solicite la contraseña y la credencial de RADIUS para la autenticación. Un usuario escribe la contraseña correctamente, pero no introduce el código de acceso de VMware Verify correcto. Como el usuario escribió la contraseña correcta, la solicitud de autenticación de reserva corresponde solo a la credencial de RADIUS. No es necesario que el usuario vuelva a escribir la contraseña.
  • En el segundo escenario, se configura la regla de directiva de acceso para que solicite que los usuarios se autentiquen con su contraseña y el código de acceso de VMware Verify. Se configuró la autenticación de reserva de forma que solicite RSA SecurID y RADIUS para la autenticación. Un usuario escribe la contraseña correctamente, pero no introduce el código de acceso de VMware Verify correcto. La solicitud de autenticación de reserva se utiliza tanto para la credencial de RSA SecurID como para la de RADIUS para la autenticación.

Para configurar que una regla de directiva de acceso solicite la autenticación y la verificación del cumplimiento normativo del dispositivo para los dispositivos administrados por Workspace ONE UEM, se debe habilitar el Cumplimiento normativo del dispositivo con AirWatch en la página del proveedor de identidades integrado. Consulte Habilitar la comprobación de cumplimiento de dispositivos administrados por Workspace ONE UEM en Workspace ONE Access. Los métodos de autenticación del proveedor de identidades integrado que se pueden encadenar con el cumplimiento normativo del dispositivo con AirWatch son SSO móvil (para iOS), SSO móvil (para Android) o Certificado (implementación en la nube).

Cuando se utiliza VMware Verify para la autenticación de dos factores, VMware Verify es el segundo método de autenticación en la cadena de autenticación. Se debe habilitar VMware Verify en la página del proveedor de identidades integrado. Consulte Configurar VMware Verify para la autenticación en dos fases en Workspace ONE Access.

Duración de la sesión de autenticación

Para cada regla, debe establecer el número de horas que resulta válida esta autenticación. El valor Volver a autenticar después de determina el tiempo máximo que los usuarios tienen desde el último evento de autenticación para acceder a su portal o abrir una aplicación concreta. Por ejemplo, un valor de 8 en una regla de aplicación web significa que una vez autenticados, los usuarios no necesitan volver a autenticar de nuevo por 8 horas.

El ajuste de la regla de directiva Volver a autenticar después de no controla las sesiones de las aplicaciones. El ajuste controla el tiempo tras el cual los usuarios deben volver a autenticarse.

Mensaje de error personalizado de acceso denegado

Cuando los usuarios intentan iniciar sesión y se produce un error porque las credenciales no son válidas, la configuración no es correcta o se produce un error en el sistema, se mostrará un mensaje de acceso denegado. El mensaje predeterminado es Se ha denegado el acceso, ya que no se han encontrado métodos de autenticación válidos.

Puede crear un mensaje de error personalizado que anule el mensaje predeterminado para cada regla de directiva de acceso. El mensaje personalizado puede incluir texto y un vínculo de un mensaje de llamada a una acción. Por ejemplo, en una regla de directiva para restringir el acceso a dispositivos inscritos, puede crear el siguiente mensaje de error personalizado si un usuario intenta iniciar sesión desde un dispositivo que no está inscrito. Registre su dispositivo para acceder a los recursos corporativos. Para ello, haga clic en el vínculo que encontrará al final de este mensaje. Si su dispositivo ya está registrado, póngase en contacto con el equipo de soporte técnico para obtener ayuda.