Las reglas de directiva de acceso se crean para especificar los criterios que los usuarios deben cumplir para acceder al área de trabajo de Workspace ONE Intelligent Hub y a las aplicaciones para las que estén autorizados. Se pueden crear también directivas de acceso específicas de aplicación con reglas para administrar el acceso de los usuarios a determinadas aplicaciones de escritorio y web.
Rango de redes
Las direcciones de red se asignan a la regla de directiva de acceso para administrar el acceso de usuario en función de la dirección IP que se utiliza para iniciar sesión y acceder a las aplicaciones. Cuando se configura el servicio de Workspace ONE Access de forma local, se pueden configurar rangos de direcciones IP de redes para el acceso a la red interna y el acceso a la red externa. A continuación, puede crear diferentes reglas en función del rango de redes configurado en la regla.
Los rangos de redes se configuran desde la consola Recursos > Directivas > Rangos de redes antes de configurar las reglas de la directiva de acceso.
Cada instancia del proveedor de identidades de la implementación está configurada para vincular rangos de redes con métodos de autenticación. Cuando configure una regla de directiva, asegúrese de que el rango de redes que seleccione quede cubierto por una instancia de proveedor de identidades existente.
Tipo de dispositivo utilizado para acceder al contenido desde
Al configurar una regla de directiva de acceso, se selecciona el tipo de dispositivo que se puede utilizar para acceder al contenido de Workspace ONE Intelligent Hub. Seleccionar un tipo de dispositivo en una regla le permite hacer coincidir el estado de inscripción del dispositivo o el dispositivo del usuario con la regla de directiva de acceso que proporciona la mejor experiencia de autenticación.
- La opción Todos los tipos de dispositivos se configura en una regla de directiva aplicable a todos los casos de acceso.
- El tipo de dispositivo Navegador web se configura en una regla de directiva para acceder al contenido desde cualquier navegador web, independientemente del tipo de hardware o sistema operativo del dispositivo.
- El tipo de dispositivo Aplicaciones en Workspace ONE Intelligent Hub está configurado en una regla de directiva para acceder al contenido de la aplicación Workspace ONE Intelligent Hub después de iniciar sesión en un dispositivo.
- El tipo de dispositivo iOS se configura en una regla de directiva para acceder al contenido desde dispositivos iPhone y iPad.
En entornos de tenant de nube de Workspace ONE Access, el tipo de dispositivo iOS coincide con dispositivos iPhone y iPad, independientemente de si Versión de escritorio en la configuración de Safari está habilitada o no.
- El tipo de dispositivo macOS se configura para acceder al contenido desde dispositivos configurados con macOS.
En los entornos locales, configure también el tipo de dispositivo macOS para que coincida con los dispositivos iPad que tengan habilitada la opción Solicitar sitios de escritorio en la configuración de Safari.
- (Solo versión en la nube) El tipo de dispositivo iPad se configura en una regla de directiva para acceder al contenido desde dispositivos iPad configurados con iPadOS. Esta regla permite identificar un iPad, independientemente de si la opción Solicitar sitios de escritorio está habilitada o no en la configuración de Safari.
Nota: Si se crea una regla de directiva de acceso para utilizar el tipo de dispositivo iPad, la regla relativa a dispositivos iPad debe aparecer antes que la regla que usa el tipo de dispositivo iOS. De lo contrario, la regla relativa al tipo de dispositivo iOS se aplicará a los dispositivos iPad que soliciten acceso. Esto es válido en iPads con iPadOS o con un iOS anterior.
- El tipo de dispositivo Android se configura para acceder al contenido desde dispositivos Android.
- (Solo versión en la nube) El tipo de dispositivo Chrome OS está configurado para acceder al contenido desde dispositivos que utilizan el sistema operativo Chrome OS.
- (Solo versión en la nube) El tipo de dispositivo Linux está configurado para acceder al contenido desde dispositivos que utilizan el sistema operativo Linux.
- (Solo versión en la nube) El tipo de dispositivo Windows 10+ se configura para acceder al contenido desde dispositivos Windows 10 y Windows 11. Esta funcionalidad es compatible con todos los dispositivos Windows 11, incluidos los dispositivos móviles y de escritorio.
- El tipo de dispositivo Inscripción de Windows 10 se configura para habilitar la autenticación cuando los usuarios unen sus dispositivos a Azure AD con la experiencia directa o desde la configuración de Windows.
- El tipo de dispositivo Inscripción de dispositivo se configura para requerir la inscripción del dispositivo. Esta regla requiere que los usuarios se autentiquen en el proceso de inscripción de Workspace ONE UEM facilitado por la aplicación Workspace ONE Intelligent Hub en un dispositivo iOS o Android.
El orden en el que las reglas aparecen en la página de configuración de directivas es el orden en el que se aplican las reglas. Cuando un tipo de dispositivo coincide con el método de autenticación, se omiten las reglas siguientes. Si la regla del tipo de dispositivo Aplicaciones en Workspace ONE Intelligent Hub no es la primera regla en la lista de directivas, los usuarios no inician sesión en la aplicación Workspace ONE Intelligent Hub durante el periodo de tiempo prolongado.
Agregar grupos
Puede aplicar diferentes reglas de autenticación según la afiliación a grupos. Los grupos pueden ser grupos sincronizados desde el directorio empresarial y grupos locales creados en la consola de Workspace ONE Access.
Cuando los grupos se asignan a una regla de directiva de acceso, se solicita a los usuarios que introduzcan su identificador único y, a continuación, se solicita que introduzcan la autenticación en función de la regla de directiva de acceso. Consulte Experiencia de inicio de sesión con identificador único en la guía de administración de Workspace ONE Access. De forma predeterminada, el identificador único es userName. Vaya a la página Configuración > Instalación > Preferencias de inicio de sesión para ver el valor de identificador único configurado o para cambiar el identificador.
Acciones administradas por reglas
Una regla de directiva de acceso puede configurarse para permitir o denegar el acceso a los recursos y el área de trabajo. Cuando se configura una directiva para proporcionar acceso a aplicaciones específicas, también se puede especificar la acción para permitir el acceso a la aplicación sin que se requiera una autenticación adicional. Para que esta acción pueda llevarse a cabo, el usuario ya está autenticado a través de la directiva de acceso predeterminada.
De forma selectiva, puede emplear condiciones en la regla que se aplica a la acción, tales como qué redes, tipos de dispositivos y grupos se incluirán, y el estado de inscripción y cumplimiento del dispositivo. Cuando la acción es denegar el acceso, los usuarios no pueden iniciar sesión ni iniciar aplicaciones desde el rango de redes y el tipo de dispositivo configurados en la regla.
Métodos de autenticación
Los métodos de autenticación que están configurados en el servicio de Workspace ONE Access se aplican para acceder a las reglas de la directiva de acceso. En cada regla, se selecciona el tipo de métodos de autenticación que se va a usar para comprobar la identidad de los usuarios que inician sesión en la aplicación Workspace ONE Intelligent Hub o acceden a una aplicación. Se puede seleccionar más de un método de autenticación en una regla.
Los métodos de autenticación se aplican en el orden en el que se muestran en la regla. Se selecciona la primera instancia del proveedor de identidades que cumple la configuración del rango de redes y el método de autenticación de la regla. La solicitud de autenticación del usuario se reenvía a la instancia del proveedor de identidades para la autenticación. En caso de error de autenticación, se selecciona el siguiente método de autenticación de la lista.
Puede configurar un encadenamiento de autenticación en una regla de directiva de acceso para solicitar a los usuarios que pasen credenciales a través de más de uno de los métodos de autenticación antes de poder iniciar sesión. Se configuran dos condiciones de autenticación en una regla y el usuario debe responder correctamente a ambas solicitudes de autenticación. Por ejemplo, si establece en la configuración de la autenticación Contraseña y Duo Security, los usuarios deben introducir su contraseña y el código de acceso de Duo Security para poder autenticarse.
Cuando se requiere más de una condición de autenticación, se puede configurar la regla para que incluya métodos de autenticación alternativos entre los que los usuarios puedan elegir. Por ejemplo, si selecciona Contraseña como método de autenticación principal y proporciona Token de FIDO o Verify (Intelligent Hub) como métodos de autenticación secundarios opcionales, se requiere a los usuarios que introduzcan su contraseña y, a continuación, seleccionen su método de autenticación preferido en las opciones de la página de inicio de sesión.
Se puede configurar una autenticación de reserva para que los usuarios que no logran pasar la solicitud de autenticación anterior puedan iniciar sesión de otra forma. Si es imposible autenticar un usuario con un método de autenticación y también se configuraron métodos de reserva, se solicita a los usuarios que introduzcan sus credenciales para los métodos de autenticación adicionales que estén configurados. En los dos siguientes escenarios se describe cómo funciona esta reserva.
- En el primer escenario, se configura la regla de directiva de acceso para que solicite que los usuarios se autentiquen con su contraseña y Duo Security. Se configuró la autenticación de reserva de forma que solicite la contraseña y la credencial de RADIUS para la autenticación. Un usuario escribe la contraseña correctamente, pero no introduce la respuesta correcta de Duo Security. Como el usuario escribió la contraseña correcta, la solicitud de autenticación de reserva corresponde solo a la credencial de RADIUS. No es necesario que el usuario vuelva a introducir la contraseña.
- En el segundo escenario, se configura la regla de directiva de acceso para que solicite que los usuarios se autentiquen con su contraseña y la respuesta de Duo Security. Se configuró la autenticación de reserva de forma que solicite RSA SecurID y RADIUS para la autenticación. Un usuario escribe la contraseña correctamente, pero no introduce la respuesta correcta de Duo Security. La solicitud de autenticación de reserva se utiliza tanto para la credencial de RSA SecurID como para la de RADIUS para la autenticación.
Para configurar que una regla de directiva de acceso solicite la autenticación y la verificación del cumplimiento normativo del dispositivo para los dispositivos administrados por Workspace ONE UEM, se debe habilitar el Cumplimiento normativo del dispositivo con Workspace ONE UEM en la página del proveedor de identidades integrado. Consulte Habilitar la comprobación de cumplimiento de dispositivos administrados por Workspace ONE UEM en Workspace ONE Access. Los métodos de autenticación del proveedor de identidades integrado que se pueden encadenar con el cumplimiento normativo del dispositivo con Workspace ONE UEM son SSO móvil (para iOS), SSO móvil (para Android) o Certificado (implementación en la nube).
Duración de la sesión de autenticación
Para cada regla, debe establecer el número de horas que resulta válida esta autenticación. El valor Volver a autenticar después de determina el tiempo máximo que los usuarios tienen desde el último evento de autenticación para acceder a su portal o abrir una aplicación concreta. Por ejemplo, un valor de 8 en una regla de aplicación web significa que una vez autenticados, los usuarios no necesitan volver a autenticar de nuevo por 8 horas.
La opción de regla de directiva reautenticación después de no controla las sesiones de aplicaciones. El ajuste controla el tiempo tras el cual los usuarios deben volver a autenticarse.
Mensaje de error personalizado de acceso denegado
Cuando los usuarios intentan iniciar sesión y se produce un error porque las credenciales no son válidas, la configuración no es correcta o se produce un error en el sistema, se mostrará un mensaje de acceso denegado. El mensaje predeterminado es Se ha denegado el acceso, ya que no se han encontrado métodos de autenticación válidos.
Puede crear un mensaje de error personalizado que anule el mensaje predeterminado para cada regla de directiva de acceso. El mensaje personalizado puede incluir texto y un vínculo de un mensaje de llamada a una acción. Por ejemplo, en una regla de directiva para restringir el acceso a dispositivos inscritos, puede crear el siguiente mensaje de error personalizado si un usuario intenta iniciar sesión desde un dispositivo que no está inscrito. Registre su dispositivo para acceder a los recursos corporativos. Para ello, haga clic en el vínculo que encontrará al final de este mensaje. Si su dispositivo ya está registrado, póngase en contacto con el equipo de soporte técnico para obtener ayuda.