Pour réaliser l'expérience Single Sign-On lorsque les utilisateurs accèdent aux ressources depuis l'application Workspace ONE, la stratégie d'accès par défaut est configurée avec des règles pour chaque type de périphérique utilisé dans votre environnement, Android, iOS, MacOS ou Windows 10.
Dans cet exemple de configuration de stratégie d'accès par défaut, celle-ci est créée avec des règles pour couvrir les utilisateurs qui se connectent à partir de toutes les plages réseau. Pour l'accès géré, la conformité des terminaux pour AirWatch est configurée pour les terminaux et les règles de l'application Workspace ONE. Les règles suivantes sont créées.
- Règle pour chaque type de terminal mobile qui permet d'accéder à l'application Intelligent Hub.
- Règle pour l'accès utilisateur à partir du type de terminal de l'application Workspace ONE pour l'application Intelligent Hub. Toutes les méthodes d'authentification de tous les terminaux pris en charge sont configurées dans cette règle. La méthode d'authentification de conformité des terminaux est appliquée pour prendre en charge l'accès depuis les terminaux gérés.
- Règle pour l'accès utilisateur à partir du type de terminal Navigateur Web pour accéder à Workspace ONE à partir de tout navigateur Web.
- Règle pour les utilisateurs sur des terminaux non gérés pour accéder aux ressources.
Lorsque des utilisateurs utilisent l'un des terminaux pour se connecter à l'application Workspace ONE, ils sont authentifiés selon la méthode d'authentification configurée pour le type de terminal. Une fois l'utilisateur correctement authentifié, il n'est plus invité à s'authentifier de nouveau (cette méthode d'authentification est reconnue) lorsqu'il lance d'autres ressources dans l'écran de l'application Intelligent Hub.
Si la méthode d'authentification utilisée pour s'authentifier à Workspace ONE n'est pas reconnue, l'utilisateur est invité à s'authentifier selon la règle de l'application Workspace ONE lorsqu'il lance les ressources depuis l'application Intelligent Hub.
Exemple de conditions de règle de stratégie d'accès à utiliser pour Workspace ONE
Pour obtenir la meilleure expérience utilisateur, répertoriez le type de terminal Application Workspace ONE comme première règle dans la stratégie d'accès par défaut. Lorsque la règle est la première, les utilisateurs sont connectés à l'application et peuvent lancer des ressources sans s'authentifier de nouveau jusqu'à ce que la session expire.
1. Créer des règles pour chaque terminal qui permet d'accéder à Workspace ONE. Cet exemple s'applique à la règle pour autoriser l'accès à partir du type de terminal iOS.
- La plage réseau est TOUTES LES PLAGES.
- Les utilisateurs peuvent accéder à leur contenu depuis iOS.
- Aucun groupe n'est ajouté à la règle de stratégie. Tous les utilisateurs sont pris en charge.
- Configurez toutes les méthodes d'authentification prises en charge.
- Authentifiez-vous à l'aide de Mobile SSO (pour iOS) et Conformité des terminaux (avec AirWatch).
- Méthode de recours 1 : Mot de passe (déploiement de Cloud).
- Session de nouvelle authentification après 8 heures.
2. Créer la règle pour le type de terminal Application Workspace ONE. Chaque méthode d'authentification configurée pour les terminaux à l'étape 1 doit être incluse dans cette règle.
- La plage réseau est TOUTES LES PLAGES.
- Les utilisateurs peuvent accéder au contenu depuis Application Workspace ONE.
- Aucun groupe n'est ajouté à la règle de stratégie. Tous les utilisateurs sont pris en charge.
- Configurez toutes les méthodes d'authentification prises en charge.
- Authentifiez-vous à l'aide de Mobile SSO (pour iOS) et Conformité des terminaux (avec AirWatch).
- Méthode de recours 1 : Mobile SSO (pour Android) et Conformité des terminaux (avec AirWatch).
- Méthode de recours 2 : Mot de passe (déploiement de Cloud).
- Session de nouvelle authentification après 2 160 heures.
2 160 heures est équivalent à 90 jours, ce qui correspond à la durée de vie du jeton d'actualisation OAuth de l'application Workspace ONE.
3. Créer la règle du type de terminal Navigateur Web pour accéder au portail de Workspace ONE à partir de n'importe quel navigateur Web. Cet exemple inclut comme recours la méthode d'authentification Mot de passe (Annuaire local). Pour les administrateurs système d'authentification qui se connectent, au moins une règle doit être configurée sur l'authentification à l'aide de Mot de passe (Annuaire local). La session expire après 24 heures.
- La plage réseau est TOUTES LES PLAGES.
- Les utilisateurs peuvent accéder au contenu à partir de Navigateur Web.
- Aucun groupe n'est ajouté à la règle de stratégie. Tous les utilisateurs sont pris en charge.
- Configurez toutes les méthodes d'authentification prises en charge.
- Authentification à l'aide de Mot de passe (déploiement de Cloud).
- Méthode de recours 2 : Mot de passe.
- Méthode de recours 3 : Mot de passe (Annuaire local).
- Session de nouvelle authentification après 8 heures.
4. Créer la règle de tous les types de terminaux pour accéder aux ressources non gérées.
- La plage réseau est TOUTES LES PLAGES.
- Les utilisateurs peuvent accéder au contenu depuis Tous les terminaux.
- Aucun groupe n'est ajouté à la règle de stratégie. Tous les utilisateurs sont pris en charge.
- Configurez toutes les méthodes d'authentification prises en charge.
- Authentification à l'aide de Mot de passe (déploiement de Cloud).
- Session de nouvelle authentification après 8 heures.
Lorsque vous créez des règles pour tous les terminaux, Application Workspace ONE et Navigateur Web, votre ensemble de stratégies par défaut ressemble à la capture d'écran suivante.
Flux avec cette stratégie d'accès par défaut configurée.
- UserA se connecte à l'application Intelligent Hub à partir de son terminal iOS et est invité à s'authentifier à l'aide de Mobile SSO (pour iOS). La troisième règle est Mobile SSO (pour iOS) et l'authentification est réussie.
- UserA lance une ressource répertoriée dans l'application Workspace ONE et, du fait que l'application Workspace ONE inclut la méthode d'authentification Mobile SSO (pour iOS) comme méthode d'authentification de recours, la ressource est lancée sans redemander l'authentification. L'utilisateur peut lancer des ressources sans se connecter de nouveau à Workspace ONE pendant 2 160 heures.
Consultez également la section Configurer une règle de stratégie d'accès pour la vérification de la conformité.