Para proporcionar acceso seguro al portal de aplicaciones de Workspace ONE de los usuarios y para iniciar aplicaciones de escritorio y web, configure directivas de acceso. Las directivas de acceso incluyen reglas que especifican los criterios que se deben cumplir para iniciar sesión en el portal de aplicaciones y utilizar los recursos.

Las directivas de acceso permiten a los administradores configurar características como el inicio de sesión único móvil, el acceso condicional a las aplicaciones según la autorización, el estado de cumplimiento normativo, la actualización a versiones posteriores y la autenticación multifactor.

Las reglas de directivas asignan la dirección IP que realiza la solicitud a rangos de redes y designan el tipo de dispositivos que pueden usar los usuarios para iniciar sesión. Las reglas definen los métodos de autenticación y el número de horas durante las que será válida la autenticación. Puede seleccionar uno o varios grupos para asociarlos con la regla de acceso.

Hay disponible una amplia gama de opciones de configuración, pero esta guía de inicio rápido describe el nivel administrado y sin administrar de movilidad empresarial para el acceso a la aplicación.

La directiva de acceso predeterminada se configura al ejecutar el asistente de inicio de sesión único móvil para permitir el acceso a todos los tipos de dispositivos que han configurado. Esta directiva se considera como acceso de nivel 1 para las aplicaciones a las que se puede acceder con dispositivos no administrados.

Puede crear directivas para las aplicaciones que requieren un acceso restringido desde dispositivos administrados compatibles. VMware Identity Manager proporciona varios adaptadores de autenticación integrados para llevar a cabo esta experiencia. Cuando se configura el inicio de sesión único móvil, se habilitan estos métodos de autenticación.

  • SSO móvil (para iOS). Adaptador basado en Kerberos para dispositivos iOS

  • SSO móvil (para Android). Implementación especialmente adaptada de autenticación mediante certificados para Android

  • Certificado (implementación en la nube). Servicio de autenticación mediante certificados destinada a navegadores web y dispositivos de escritorio

  • Contraseña. Permite la autenticación de contraseñas de directorio con un solo conector cuando VMware Identity Manager y AirWatch se implementan juntos con ambos componentes de VMware Enterprise Systems Connector

  • Contraseña (AirWatch Connector). Permite la autenticación de contraseñas de directorio con un solo conector cuando VMware Identity Manager y AirWatch se implementan juntos utilizando únicamente ACC

  • Cumplimiento normativo del dispositivo (con AirWatch). Mide el estado de los dispositivos administrados, lo que se traduce en un estado correcto o un error en función de los criterios definidos en AirWatch. El cumplimiento normativo se puede vincular a cualquier otro adaptador integrado excepto la contraseña

Directiva de acceso predeterminada de nivel 1 para dispositivos no administrados

Utilice la directiva de acceso predeterminada como una directiva de línea base de nivel 1 para acceder a todas las aplicaciones. Cuando el inicio de sesión único móvil está configurado, se crean reglas de acceso para los dispositivos iOS, Android y Windows 10. Cada dispositivo está habilitado para el inicio de sesión único con el método de autenticación específico de ese dispositivo. En cada regla, el método de reserva es la contraseña. Esta configuración proporciona la mejor experiencia para administrar dispositivos, sin dejar de ofrecer una opción de inicio de sesión manual para los dispositivos no administrados.

La directiva predeterminada está configurada para permitir el acceso a todos los rangos de redes. El tiempo de espera de la sesión es de ocho horas.

Es posible que desee un acceso más seguro para los dispositivos no administrados con VMware Verify u otra autenticación multifactor.

Figura 1. Ejemplo de la directiva predeterminada para dispositivos no administrados

Cuando se utiliza el asistente de inicio de sesión único móvil para configurar el SSO móvil, las reglas de la directiva de acceso predeterminada reflejan este nivel de control de acceso.

Configurar directivas de nivel 2 para dispositivos administrados

Si su organización implementa aplicaciones que contienen datos confidenciales, se puede especificar que solo los dispositivos administrados mediante MDM tengan acceso a esas aplicaciones. Los dispositivos administrados pueden controlarse y eliminarse, si es necesario, y los datos empresariales se eliminan cuando el dispositivo carece de autorización.

Para aplicar este requisito de administración a una selección de aplicaciones, debe crear directivas específicas para estas aplicaciones. Al crear la directiva, en la sección Se aplica a, seleccione las aplicaciones que se aplican a esta directiva.

Cree una regla de directiva para cada plataforma de dispositivos en la implementación. Defina el método de autenticación SSO correcto. Sin embargo, debido a que los dispositivos no administrados no deben acceder a estas aplicaciones, no defina un método de autenticación de reserva. Por ejemplo, si un dispositivo iOS no administrado intenta conectarse a una aplicación configurada solo para el acceso con dispositivos administrados, el dispositivo no responde con el certificado encapsulado de Kerberos adecuado. Se produce un error en el intento de autenticación, y el usuario no puede acceder al contenido.

Figura 2. Ejemplo de directiva de acceso de nivel 2 para dispositivos administrados