Configuration de paramètres de stratégie d'accès

Une stratégie contient une ou plusieurs règles d'accès. Chaque règle est composée de paramètres que vous pouvez configurer afin de gérer l'accès des utilisateurs à leur portail Workspace ONE de façon globale ou à des applications Web et de poste de travail spécifiques.

Une règle de stratégie peut être configurée pour prendre des mesures, comme bloquer, autoriser ou authentifier par relais des utilisateurs, en fonction de conditions telles que le réseau, le type de périphérique, l'état d'inscription et de conformité du périphérique AirWatch ou l'application en cours d'accès.

Plage réseau

Pour chaque règle, vous déterminez la base d'utilisateurs en spécifiant une plage réseau. Une plage réseau est composée d'une ou de plusieurs plages d'adresses IP. Vous pouvez créer des plages réseau depuis l'onglet Identité et gestion de l'accès, Configuration > Plages réseau avant de configurer les ensembles de stratégies d'accès.

Chaque instance de fournisseur d'identité de votre déploiement lie des plages réseau à des méthodes d'authentification. Lorsque vous configurez une règle de stratégie, assurez-vous que la plage réseau est couverte par l'instance d'un fournisseur d'identité existant.

Vous pouvez configurer des plages réseau spécifiques pour limiter les endroits où les utilisateurs peuvent se connecter et accéder à leurs applications.

Type de périphérique

Sélectionnez le type de périphérique géré par la règle. Les types de clients sont : navigateur Web, l'application Workspace ONE, iOS, Android, Windows 10, Mac OS X et Tous les types de périphériques.

Vous pouvez configurer des règles pour désigner le type de périphérique pouvant accéder au contenu et toutes les demandes d'authentification provenant de ce type de périphérique utilisent la règle de stratégie.

Méthodes d'authentification

Dans la règle de stratégie, vous définissez l'ordre d'application des méthodes d'authentification. Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées. La première instance du fournisseur d'identité qui répond à la méthode d'authentification et à la configuration de la plage réseau de la stratégie est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance du fournisseur d'identité pour authentification. Si l'authentification échoue, la méthode d'authentification suivante dans la liste est sélectionnée.

Vous pouvez configurer des règles de stratégie d'accès pour exiger que les utilisateurs fournissent des informations d'identification via deux méthodes d'authentification avant de pouvoir se connecter. Si une méthode d'authentification, ou les deux, échoue et que des méthodes de secours sont également configurées, les utilisateurs sont invités à entrer leurs informations d'identification pour les méthodes d'authentification configurées suivantes. Les deux scénarios suivants décrivent comment ce chaînage d'authentification peut fonctionner.

Dans le premier scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et avec leurs informations d'identification Kerberos. L'authentification de secours est configurée pour exiger le mot de passe et les informations d'identification RADIUS pour l'authentification. Un utilisateur entre le mot de passe correctement, mais ne parvient pas à entrer les bonnes informations d'identification Kerberos. Comme l'utilisateur a entré le mot de passe correct, la demande d'authentification de secours ne concerne que les informations d'identification RADIUS. L'utilisateur n'a pas besoin d'entrer de nouveau le mot de passe.
Dans le second scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et avec leurs informations d'identification Kerberos. L'authentification de secours est configurée pour exiger RSA SecurID et RADIUS pour l'authentification. Un utilisateur entre le mot de passe correctement, mais ne parvient pas entrer les bonnes informations d'identification Kerberos. La demande d'authentification de secours concerne les informations d'identification RSA SecurID et RADIUS pour l'authentification.

Pour configurer une règle de stratégie d'accès qui requiert l'authentification et la vérification de la conformité des périphériques, Conformité des périphériques avec AirWatch doit être activé sur la page du fournisseur d'identité intégré. Voir Configurer une règle de stratégie d'accès pour la vérification de la conformité.

Durée de la session d'authentification

Pour chaque règle, vous définissez le nombre d'heures pendant lesquelles l'authentification est valide. La valeur nouvelle authentification après détermine la durée maximale dont disposent les utilisateurs depuis leur dernier événement d'authentification pour accéder à leur portail ou pour démarrer une application spécifique. Par exemple, une valeur de 4 dans une règle d'application Web donne aux utilisateurs quatre heures pour démarrer l'application Web sans devoir initier un autre événement d'authentification qui étend la durée.

Message d'erreur d'accès refusé personnalisé

Lorsque des utilisateurs tentent de se connecter, mais échouent à cause d'informations d'identification non valides, d'une configuration incorrecte ou d'une erreur système, un message d'accès refusé s'affiche. Le message par défaut est Accès refusé, car aucune méthode d'authentification valide n'a été trouvée.

Vous pouvez créer un message d'erreur personnalisé pour chaque règle de stratégie d'accès qui remplace le message par défaut. Le message personnalisé peut comporter du texte et un lien pour un message d'appel à l'action. Par exemple, dans une règle de stratégie pour des périphériques mobiles que vous voulez gérer, si un utilisateur essaie de se connecter à partir d'un périphérique désinscrit, vous pouvez créer le message d'erreur personnalisé suivant. Inscrivez votre périphérique pour accéder à des ressources d'entreprise en cliquant sur le lien à la fin de ce message. Si votre périphérique est déjà inscrit, contactez le support pour obtenir de l'aide.

Exemple de stratégie par défaut

La stratégie suivante est un exemple de configuration de la stratégie par défaut pour contrôler l'accès au portail d'applications et à des applications Web auxquelles aucune stratégie spécifique n'est attribuée.

Les règles de stratégie sont évaluées dans l'ordre indiqué dans la stratégie. Vous pouvez modifier l'ordre des règles en effectuant un glisser-déposer de la règle dans la section Règles de stratégie.

- Pour le réseau interne, deux méthodes d'authentification sont configurées pour la règle, l'authentification Kerberos et par mot de passe, comme méthode de secours. Pour accéder au portail d'applications depuis un réseau interne, le service tente d'authentifier les utilisateurs d'abord avec l'authentification Kerberos, car il s'agit de la première méthode d'authentification répertoriée dans la règle. Si cela échoue, les utilisateurs sont invités à entrer leur mot de passe Active Directory. Les utilisateurs se connectent à l'aide d'un navigateur et ont maintenant accès à leurs portails utilisateur pendant une session de huit heures.
- Pour l'accès depuis le réseau externe (Toutes les plages), une seule méthode d'authentification est configurée, RSA SecurID. Pour accéder au portail d'applications depuis un réseau externe, les utilisateurs doivent se connecter avec SecurID. Les utilisateurs se connectent à l'aide d'un navigateur et ont maintenant accès à leurs portails d'applications pendant une session de quatre heures.
Cette stratégie par défaut s'applique à toutes les applications Web et de poste de travail ne disposant pas d'une stratégie spécifique à une application.