Para ofrecer acceso seguro a las aplicaciones SaaS, debe configurar directivas de acceso. Las políticas de acceso incluyen reglas que especifican criterios que han de cumplirse para iniciar sesión en el portal de Workspace ONE y utilizar aplicaciones.

Para obtener más información acerca de las políticas de acceso en el sistema Workspace ONE UEM, consulte Workspace ONE Access y busque Administración de políticas de acceso.

Flexibilidad de las políticas de acceso

Las políticas de acceso permiten ejercer un control indulgente de la red y restringir el acceso fuera de la red. Por ejemplo, puede configurar una política de acceso con las siguientes reglas.

  • Permita el acceso a un rango de redes con inicio de sesión único dentro de la red corporativa.
  • Configure la misma política para requerir la autenticación multifactor (MFA) cuando esté fuera de la red corporativa.
  • Configure la política para permitir el acceso a un grupo de usuarios específicos con un tipo concreto de propiedad del dispositivo. Puede bloquear el acceso a otras personas que no pertenezcan al grupo.

Política de acceso predeterminada y políticas de acceso específicas de cada aplicación

Política de acceso predeterminada: el servicio Workspace ONE Access y la consola Workspace ONE UEM Console incluyen una política predeterminada que controla el acceso a todas las aplicaciones SaaS. Esta política permite el acceso de todos los usuarios a todos los rangos de redes y desde todos los tipos de dispositivos. Puede editar la política de acceso predeterminada, pero no puede eliminarla.

Importante: Las ediciones de la política de acceso predeterminada se aplican a todas las aplicaciones y pueden afectar a la posibilidad de todos los usuarios de acceder a Workspace ONE.

Cómo agregar rangos de redes para políticas de acceso

Defina rangos de redes con las direcciones IP permitidas para los inicios de sesión de usuarios en aplicaciones SaaS. Asigne estos rangos cuando aplique reglas de acceso a las aplicaciones SaaS. Necesita los rangos de redes para su implementación de Workspace ONE Access y de Workspace ONE UEM. El departamento de la red organizativa suele tener la topología de red.

  1. Navegue a Recursos > Aplicaciones > Políticas de acceso > Rangos de redes.

  2. Seleccione un nombre y edite el rango o seleccione Agregar rango de redes.

  3. Complete las opciones para definir los rangos.

    Ajustes Descripción
    Nombre Introduzca un nombre para el rango de redes.
    Descripción Introduzca una descripción para el rango de redes.
    Rangos de IP Introduzca direcciones IP que incluyan los dispositivos aplicables en el rango.
    Agregar fila Defina varios rangos de direcciones IP.

Cómo configurar políticas de acceso específicas de cada aplicación

Puede agregar directivas de acceso específicas de cada aplicación para controlar el acceso del usuario a las aplicaciones SaaS.

  1. Navegue a Recursos > Aplicaciones > Políticas de acceso > Agregar políticas.

  2. Configure las opciones de la pestaña Definición

    Ajustes Descripción
    Nombre de política Introduzca un nombre para la política. Los criterios de nombre permitidos incluyen los parámetros enumerados. Empiece por una letra, en minúscula o mayúscula, de la a a la Z. Incluya otras letras, en minúscula o mayúscula, de la a a la Z. También puede incluir guiones y números.
    Descripción (Opcional) Proporcione una descripción de la política.
    Aplicar a Seleccione las aplicaciones SaaS a las que desea asignar la política.
  3. Complete las opciones de la pestaña Configuración y seleccione Agregar regla de la política o edite una política existente.

    Ajustes Descripción
    Si un rango de redes del usuario es Seleccione un rango de redes configurado previamente en el proceso de rangos de redes.
    Y el usuario accede al contenido desde Seleccione los tipos de dispositivos a los que se permite acceder a contenido según los criterios de esta política.
    y el usuario pertenece a grupos Seleccione los grupos de usuarios a los que se permite acceder a contenido según los criterios de esta política. Si no selecciona ningún grupo , la política se aplica a todos los usuarios.
    A continuación, realice esta acción Permita la autenticación, rechace la autenticación o permita el acceso sin autenticación.
    entonces el usuario podría autenticarse usando Seleccione el método de autenticación inicial para acceder al contenido.
    Si se produce algún error en el método de autenticación anterior o este no es aplicable, entonces Seleccione un método de reserva para la autenticación en el contenido en caso de error con el método inicial.
    Agregar método de reserva Agregue otro método de autenticación. El sistema procesa métodos de arriba abajo, para agregarlos en el orden en que desea que el sistema los aplique.
    Autenticar de nuevo después de Seleccione la duración de una sesión de acceso permitida antes de que el usuario tenga que volver a autenticarse para acceder al contenido.
  4. Vea el Resumen de la política de acceso específica de cada aplicación.

SSO entre Workspace ONE UEM y Workspace ONE Access para las aplicaciones SaaS y las políticas de acceso

Workspace ONE UEM Console y Workspace ONE Access utilizan un flujo de trabajo de código de autorización que permite el acceso a la consola de Workspace ONE Access a través de Workspace ONE UEM Console y que permite a los administradores trabajar con configuraciones de aplicaciones SaaS. Este flujo es específico de las aplicaciones SaaS y políticas de acceso de Workspace ONE UEM. Las adiciones y las modificaciones realizadas en Workspace ONE UEM se reflejan en Workspace ONE UEM.

Registro del cliente de OAuth durante la instalación

Cuando se configura Workspace ONE Access en Workspace ONE UEM Console, se registra el cliente OAuth como parte del asistente para configuración. El registro del cliente de OAuth es un requisito previo para que funcione esta función SSO.

Plan de trabajo

Workspace ONE Access y Workspace ONE UEM trabajan en el back-end para autenticar al administrador de Workspace ONE UEM para Workspace ONE Access. Workspace ONE Access Console envía un token de ID a Workspace ONE UEM. Este token contiene información sobre la administración y la autenticación para que el administrador pueda acceder a ambas consolas. Las dos consolas siguen el proceso descrito.

Flujo de trabajo que muestra la comunicación SSO

check-circle-line exclamation-circle-line close-line
Scroll to top icon