Créer des règles de stratégie d'accès qui spécifient les critères devant être satisfaits pour accéder au portail Workspace ONE et les applications qui ont été octroyées globalement. Vous pouvez également créer des stratégies d'accès spécifiques à une application avec des règles pour gérer l'accès des utilisateurs à des applications Web et de bureau spécifiques.
Plage réseau
Des adresses réseau sont attribuées à la règle de stratégie d'accès pour gérer l'accès des utilisateurs en fonction de l'adresse IP utilisée pour se connecter et accéder aux applications. Lorsque le service Workspace ONE Access est configuré sur site, vous pouvez configurer des plages d'adresses IP réseau pour l'accès réseau interne et l'accès réseau externe. Vous pouvez ensuite créer des règles différentes en fonction de la plage réseau définie dans la règle.
Les plages réseau sont configurées à partir de l'onglet Identité et gestion de l'accès, page Gérer > Stratégies > Plages réseau avant de configurer des règles de stratégie d'accès.
Chaque instance de fournisseur d'identité dans votre déploiement est configurée pour lier des plages réseau aux méthodes d'authentification. Lorsque vous configurez une règle de stratégie, assurez-vous que la plage réseau que vous sélectionnez est couverte par une instance de fournisseur d'identité existante.
Type de périphérique
Les règles de stratégie d'accès sont configurées pour gérer le type de périphérique utilisé pour accéder au portail et aux ressources. Les périphériques que vous pouvez spécifier incluent les périphériques mobiles iOS et Android, les ordinateurs qui exécutent des systèmes d'exploitation Windows 10 ou macOS, le navigateur Web, l'application Workspace ONE & Intelligent Hub et tous les types de périphériques.
La règle de stratégie avec le type de périphérique application Workspace ONE & Intelligent Hub définit la stratégie d'accès pour le lancement d'applications à partir de l'application Workspace ONE ou Intelligent Hub, une fois la connexion effectuée à partir d'un périphérique. Lorsque cette règle est la première règle de la liste des stratégies, une fois que les utilisateurs sont authentifiés, ils peuvent rester connectés à l'application et accéder à leurs ressources pendant 90 jours, conformément au paramètre par défaut.
La règle de stratégie avec le type de périphérique navigateur Web définit une stratégie d'accès utilisant n'importe quel type de navigateur Web, indépendamment des types de matériel du périphérique et des systèmes d'exploitation.
La règle de stratégie avec le type de périphérique Tous les types de périphériques correspond à tous les cas d'accès.
Lorsque l'application Workspace ONE ou Intelligent Hub est utilisée pour accéder aux applications, les types de périphériques sont organisés dans la stratégie définie avec le type de périphérique de l'application Workspace ONE comme première règle, suivie des types de périphériques mobiles, Windows, macOS et navigateur Web. L'option Tous les types de périphériques est répertoriée en dernier. L'ordre dans lequel les règles sont répertoriées indique l'ordre selon lequel elles sont appliquées. Lorsqu'un type de périphérique correspond à la méthode d'authentification, les règles suivantes sont ignorées. Si la règle de type de périphérique Application Workspace ONE n'est pas la première règle de la liste de stratégies, les utilisateurs ne sont pas connectés à l'application Workspace ONE pendant la période prolongée. Voir Application des règles d'application Workspace ONE aux stratégies d'accès.
Ajouter des groupes
Vous pouvez appliquer des règles d'authentification différentes selon l'appartenance au groupe de l'utilisateur. Les groupes peuvent être des groupes qui sont synchronisés depuis l'annuaire de votre entreprise et des groupes locaux que vous avez créés dans la console Workspace ONE Access.
Lorsque des groupes sont attribués à une règle de stratégie d'accès, les utilisateurs sont invités à entrer leur identifiant unique, puis à saisir l'authentification basée sur la règle de stratégie d'accès. Reportez-vous à la section Expérience de connexion à l'aide d'un identifiant unique dans le Guide d'administration de Workspace ONE Access. Par défaut, l'identifiant unique est userName. Accédez à la page Identité et gestion de l'accès > Configuration > Préférences pour voir la valeur configurée de l'identifiant unique ou pour modifier l'identifiant.
Actions gérées par les règles
Une règle de stratégie d'accès peut être configurée pour autoriser ou refuser l'accès à l'espace de travail et aux ressources. Lorsqu'une stratégie est configurée pour fournir l'accès à des applications spécifiques, vous pouvez également spécifier l'action pour autoriser l'accès à l'application sans aucune autre authentification requise. Pour appliquer cette action, l'utilisateur est déjà authentifié par la stratégie d'accès par défaut.
Vous pouvez appliquer de manière sélective les conditions spécifiées dans la règle qui s'appliquent à l'action, telles que les réseaux, les types de périphériques et les groupes à inclure, ainsi que le statut d'inscription et de conformité du périphérique. Lorsque l'action consiste à refuser l'accès, les utilisateurs ne peuvent pas se connecter ou lancer des applications à partir de la plage réseau et du type de périphérique configurés dans la règle.
Méthodes d'authentification
Les méthodes d'authentification qui sont configurées dans le service Workspace ONE Access sont appliquées aux règles de stratégie d'accès. Pour chaque règle, vous sélectionnez le type de méthode d'authentification à utiliser pour vérifier l'identité des utilisateurs qui se connectent à Workspace ONE ou qui accèdent à une application. Vous pouvez sélectionner plusieurs méthodes d'authentification dans une règle.
Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées dans la règle. La première instance du fournisseur d'identité qui répond à la méthode d'authentification et à la configuration de la plage réseau de la stratégie est sélectionnée. La demande d'authentification de l'utilisateur est transmise à l'instance du fournisseur d'identité pour authentification. Si l'authentification échoue, la méthode d'authentification suivante dans la liste est sélectionnée.
Vous pouvez configurer le chaînage d'authentification dans des règles de stratégie d'accès pour exiger que les utilisateurs fournissent leurs informations d'identification via plusieurs méthodes d'authentification avant de pouvoir se connecter. Deux conditions d'authentification sont configurées dans une seule règle, et l'utilisateur doit répondre correctement aux deux requêtes d'authentification. Par exemple, si vous définissez l'authentification via le paramétrage sur Mot de passe et VMware Verify, les utilisateurs doivent entrer leur mot de passe et le code secret VMware Verify avant d'être authentifiés.
Une méthode d'authentification de secours peut être configurée pour permettre aux utilisateurs dont la demande d'authentification précédente a échoué de tenter de se connecter à nouveau. Si une méthode d'authentification échoue à authentifier l'utilisateur et que des méthodes de secours sont également configurées, les utilisateurs sont invités à entrer leurs informations d'identification pour les méthodes d'authentification supplémentaires configurées. Les deux scénarios suivants décrivent le fonctionnement de ces méthodes de secours.
- Dans le premier scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et le code secret VMware Verify. L'authentification de secours est configurée pour exiger le mot de passe et les informations d'identification RADIUS pour l'authentification. Un utilisateur entre son mot de passe correctement, mais n'entre pas le bon code secret VMware Verify. Comme l'utilisateur a entré le mot de passe correct, la demande d'authentification de secours ne concerne que les informations d'identification RADIUS. L'utilisateur n'a pas besoin d'entrer de nouveau le mot de passe.
- Dans le second scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et le code secret VMware Verify. L'authentification de secours est configurée pour exiger RSA SecurID et RADIUS pour l'authentification. Un utilisateur entre son mot de passe correctement, mais n'entre pas le bon code secret VMware Verify. La demande d'authentification de secours concerne les informations d'identification RSA SecurID et RADIUS pour l'authentification.
Pour configurer une règle de stratégie d'accès qui requiert l'authentification et la vérification de la conformité des périphériques pour les périphériques gérés par Workspace ONE UEM, l'option Conformité des périphériques avec AirWatch doit être activée sur la page du fournisseur d'identité intégré. Voir Activation de la vérification de la conformité pour les terminaux gérés par Workspace ONE UEM. Les méthodes d'authentification du fournisseur d'identité intégré qui peuvent s'enchaîner avec l'option Conformité des périphériques avec AirWatch sont Mobile SSO (pour iOS), Mobile SSO (pour Android) ou par certificat (déploiement de Cloud).
Lorsque VMware Verify est utilisé pour l'authentification à deux facteurs, VMware Verify est la seconde méthode d'authentification dans la chaîne d'authentification. VMware Verify doit être activé dans la page du fournisseur d'identité intégré. Voir Configuration de VMware Verify pour l'authentification à deux facteurs.
Durée de la session d'authentification
Pour chaque règle, vous définissez le nombre d'heures pendant lesquelles l'authentification est valide. La valeur Nouvelle authentification après détermine la durée maximale dont disposent les utilisateurs depuis leur dernier événement d'authentification pour accéder à leur portail ou pour ouvrir une application spécifique. Par exemple, une valeur de 8 dans une règle d'application Web signifie qu'une fois authentifié, les utilisateurs n'ont pas à s'authentifier à nouveau pendant 8 heures.
Le paramètre de règle de stratégie Nouvelle authentification après ne contrôle pas les sessions d'application. Ce paramètre contrôle la durée après laquelle les utilisateurs doivent s'authentifier à nouveau.
Message d'erreur d'accès refusé personnalisé
Lorsque des utilisateurs tentent de se connecter, mais échouent à cause d'informations d'identification non valides, d'une configuration incorrecte ou d'une erreur système, un message d'accès refusé s'affiche. Le message par défaut est Accès refusé, car aucune méthode d'authentification valide n'a été trouvée.
Vous pouvez créer un message d'erreur personnalisé qui remplace le message par défaut pour chaque règle de stratégie d'accès. Le message personnalisé peut comporter du texte et un lien pour un message d'appel à l'action. Par exemple, dans une règle de stratégie pour limiter l'accès aux périphériques qui sont enrôlés, si un utilisateur essaie de se connecter à partir d'un périphérique non enrôlé, vous pouvez créer le message d'erreur personnalisé suivant. Inscrivez votre périphérique pour accéder à des ressources d'entreprise en cliquant sur le lien à la fin de ce message. Si votre périphérique est déjà inscrit, contactez le support pour obtenir de l'aide.