Une stratégie contient une ou plusieurs règles d'accès. Chaque règle est composée de paramètres que vous pouvez configurer afin de gérer l'accès des utilisateurs à leur portail Workspace ONE de façon globale ou à des applications Web et de poste de travail spécifiques.
Une règle de stratégie peut être configurée pour effectuer des actions telles que le blocage, l'autorisation ou la mise à niveau des utilisateurs authentifiés en fonction des conditions telles que le réseau, le type de périphérique, l'inscription d’un périphérique AirWatch et l’état conforme ou l'accès à l'application. Vous pouvez ajouter des groupes à une stratégie afin de gérer l’authentification pour des groupes spécifiques.
Plage réseau
Pour chaque règle, vous déterminez la base d'utilisateurs en spécifiant une plage réseau. Une plage réseau est composée d'une ou de plusieurs plages d'adresses IP. Vous pouvez créer des plages réseau depuis l'onglet Identité et gestion de l'accès, Configuration > Plages réseau avant de configurer les ensembles de stratégies d'accès.
Chaque instance de fournisseur d'identité de votre déploiement lie des plages réseau à des méthodes d'authentification. Lorsque vous configurez une règle de stratégie, assurez-vous que la plage réseau est couverte par l'instance d'un fournisseur d'identité existant.
Vous pouvez configurer des plages réseau spécifiques pour limiter les endroits où les utilisateurs peuvent se connecter et accéder à leurs applications.
Type de périphérique
Sélectionnez le type de périphérique géré par la règle. Les types de clients sont : navigateur Web, l'application Workspace ONE, iOS, Android, Windows 10, Mac OS X et Tous les types de périphériques.
Vous pouvez configurer des règles pour désigner le type de périphérique pouvant accéder au contenu et toutes les demandes d'authentification provenant de ce type de périphérique utilisent la règle de stratégie.
Ajouter des groupes
Vous pouvez appliquer différentes stratégies pour l’authentification basée sur l’appartenance au groupe de l’utilisateur. Pour l'attribution des groupes d’utilisateurs à se connecter via un flux d’authentification spécifique, vous pouvez ajouter des groupes à la règle de stratégie d’accès. Les groupes peuvent être des groupes synchronisés à partir de votre annuaire d'entreprise et des groupes locaux que vous créez dans la console d'administration. Les noms de groupe doivent être uniques dans un domaine.
Pour utiliser des groupes dans des règles de stratégie d’accès, vous sélectionnez un identificateur unique depuis Identité et gestion de l'accès > Page des préférences. L’attribut d’identifiant unique doit être mappé dans la page Attributs utilisateur et l’attribut sélectionné synchronisé à l’annuaire. L’identificateur unique peut être le nom d’utilisateur, l'adresse de messagerie, l'UPN ou l'ID employé. Voir Expérience de connexion à l’aide d’un identifiant unique.
Lorsque les groupes sont utilisés dans une règle de stratégie d’accès, l'expérience de la connexion de l’utilisateur pour l’utilisateur change. Au lieu de demander aux utilisateurs de sélectionner leur domaine, puis de saisir leurs informations d’identification, une page s'affiche les invitant à entrer leur identificateur unique. VMware Identity Manager détecte l’utilisateur dans la base de données interne, selon l’identificateur unique et affiche la page d’authentification configurée dans cette règle.
Lorsqu’un groupe n’est pas sélectionné, la règle de stratégie d’accès s’applique à tous les utilisateurs. Lorsque vous configurez des règles de stratégie d’accès qui incluent des règles basées sur les groupes et une règle pour tous les utilisateurs, assurez-vous que la règle désignée pour tous les utilisateurs est la dernière règle répertoriée dans la section Règles de stratégie de la stratégie.
Méthodes d'authentification
Dans la règle de stratégie, vous définissez l'ordre d'application des méthodes d'authentification. Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées. La première instance du fournisseur d'identité qui répond à la méthode d'authentification et à la configuration de la plage réseau de la stratégie est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance du fournisseur d'identité pour authentification. Si l'authentification échoue, la méthode d'authentification suivante dans la liste est sélectionnée.
Durée de la session d'authentification
Pour chaque règle, vous définissez le nombre d'heures pendant lesquelles l'authentification est valide. La valeur nouvelle authentification après détermine la durée maximale dont disposent les utilisateurs depuis leur dernier événement d'authentification pour accéder à leur portail ou pour démarrer une application spécifique. Par exemple, une valeur de 4 dans une règle d'application Web donne aux utilisateurs quatre heures pour démarrer l'application Web sans devoir initier un autre événement d'authentification qui étend la durée.
Message d'erreur d'accès refusé personnalisé
Lorsque des utilisateurs tentent de se connecter, mais échouent à cause d'informations d'identification non valides, d'une configuration incorrecte ou d'une erreur système, un message d'accès refusé s'affiche. Le message par défaut est Accès refusé, car aucune méthode d'authentification valide n'a été trouvée.
Vous pouvez créer un message d'erreur personnalisé pour chaque règle de stratégie d'accès qui remplace le message par défaut. Le message personnalisé peut comporter du texte et un lien pour un message d'appel à l'action. Par exemple, dans une règle de stratégie pour des périphériques mobiles que vous voulez gérer, si un utilisateur essaie de se connecter à partir d'un périphérique désinscrit, vous pouvez créer le message d'erreur personnalisé suivant. Inscrivez votre périphérique pour accéder à des ressources d'entreprise en cliquant sur le lien à la fin de ce message. Si votre périphérique est déjà inscrit, contactez le support pour obtenir de l'aide.