Pour réaliser l'expérience Single Sign-On lorsque les utilisateurs accèdent aux ressources depuis l'application Workspace ONE Intelligent Hub, la stratégie d'accès par défaut est configurée dans Workspace ONE Access avec des règles pour chaque type de terminal utilisé dans votre environnement, Android, iOS, MacOS ou Windows 10.
Dans cet exemple d'une configuration de stratégie d'accès, la stratégie d'accès par défaut est créée avec des règles pour englober des utilisateurs qui se connectent à partir de toutes les plages réseau. Pour l'accès géré, la conformité des terminaux pour Workspace ONE UEM est configurée pour les terminaux et les règles de l'application Workspace ONE Intelligent Hub. Les règles suivantes sont créées.
- Règle pour chaque type de terminal qui permet d'accéder à l'application Workspace ONE Intelligent Hub.
- Règle pour l'accès utilisateur à partir du type de terminal Applications sur Workspace ONE Intelligent Hub pour l'application Workspace ONE Intelligent Hub. Toutes les méthodes d'authentification de tous les terminaux pris en charge sont configurées dans cette règle. La méthode d'authentification de conformité des terminaux est appliquée pour prendre en charge l'accès depuis les terminaux gérés.
- Règle pour l'accès utilisateur à partir du type de terminal Navigateur Web pour accéder au portail Hub à partir de tout navigateur Web.
- Règle pour les utilisateurs sur des terminaux non gérés pour accéder aux ressources.
Lorsque des utilisateurs utilisent l'un des terminaux pour se connecter à l'application Workspace ONE Intelligent Hub, ils sont authentifiés selon la méthode d'authentification configurée pour le type de terminal. Une fois l'utilisateur correctement authentifié, il n'est plus invité à s'authentifier de nouveau (cette méthode d'authentification est reconnue) lorsqu'il lance d'autres ressources à partir de l'application Workspace ONE Intelligent Hub.
Si la méthode d'authentification utilisée pour s'authentifier n'est pas reconnue lorsqu'un utilisateur lance des ressources à partir de l'application Workspace ONE Intelligent Hub, il est invité à s'authentifier conformément à la règle qui permet aux utilisateurs d'accéder au contenu à partir du type de terminal Applications sur Workspace ONE Intelligent Hub.
Exemple de conditions de règle de stratégie d'accès à utiliser pour Workspace ONE
Pour garantir une expérience utilisateur optimale, répertoriez le type de terminal Applications sur Workspace ONE Intelligent Hub comme première règle dans la stratégie d'accès par défaut. Lorsque la règle est la première, les utilisateurs sont connectés à l'application et peuvent lancer des ressources sans s'authentifier de nouveau jusqu'à ce que la session expire.
1. Créer des règles pour chaque terminal qui permet d'accéder à l'application Workspace ONE Intelligent Hub. Cet exemple s'applique à la règle pour autoriser l'accès à partir du type de terminal iOS.
- La plage réseau est TOUTES LES PLAGES.
- Les utilisateurs peuvent accéder à leur contenu depuis iOS.
- Aucun groupe n'est ajouté à la règle de stratégie. Tous les utilisateurs sont pris en charge.
- Configurez toutes les méthodes d'authentification prises en charge.
- Authentifiez-vous à l'aide des options Mobile SSO (pour iOS) et Conformité des terminaux (avec Workspace ONE UEM).
- Méthode de recours 1 : Mot de passe (déploiement de Cloud).
- Session de nouvelle authentification après 8 heures.
2. Créez la règle pour les applications du type de terminal sur Workspace ONE Intelligent Hub et configurez l'authentification à utiliser, en commençant par Mobile SSO (pour iOS). L'authentification de secours est Mobile SSO (pour Android). Lorsqu'un utilisateur employant un périphérique Android ne parvient pas à s'authentifier en tant que Mobile SSO (pour iOS), il peut s'authentifier avec la méthode de secours, Mobile SSO (pour Android) et la conformité des terminaux.
- La plage réseau est TOUTES LES PLAGES.
- Les utilisateurs peuvent accéder au contenu depuis Applications sur Workspace ONE Intelligent Hub.
- Aucun groupe n'est ajouté à la règle de stratégie. Tous les utilisateurs sont pris en charge.
- Configurez toutes les méthodes d'authentification prises en charge.
- Authentifiez-vous à l'aide des options Mobile SSO (pour iOS) et Conformité des terminaux (avec Workspace ONE UEM).
- Méthode de recours 1 : Mobile SSO (pour Android) et Conformité des terminaux (avec Workspace ONE UEM).
- Méthode de recours 2 : Mot de passe (déploiement de Cloud).
- Nouvelle authentification de la session après 2160 heures.
2 160 heures équivaut à 90 jours.
3. Créer la règle du type de terminal Navigateur Web pour accéder au portail Hub à partir de n'importe quel navigateur Web. Cet exemple inclut comme recours la méthode d'authentification Mot de passe (Annuaire local). Pour les administrateurs système d'authentification qui se connectent, au moins une règle doit être configurée sur l'authentification à l'aide de Mot de passe (Annuaire local). La session expire après 24 heures.
- La plage réseau est TOUTES LES PLAGES.
- Les utilisateurs peuvent accéder au contenu à partir de Navigateur Web.
- Aucun groupe n'est ajouté à la règle de stratégie. Tous les utilisateurs sont pris en charge.
- Configurez toutes les méthodes d'authentification prises en charge.
- Authentification à l'aide de Mot de passe (déploiement de Cloud).
- Méthode de recours 2 : Mot de passe.
- Méthode de recours 3 : Mot de passe (Annuaire local).
- Session de nouvelle authentification après 8 heures.
4. Créer la règle de tous les types de terminaux pour accéder aux ressources non gérées.
- La plage réseau est TOUTES LES PLAGES.
- Les utilisateurs peuvent accéder au contenu depuis Tous les terminaux.
- Aucun groupe n'est ajouté à la règle de stratégie. Tous les utilisateurs sont pris en charge.
- Configurez toutes les méthodes d'authentification prises en charge.
- Authentification à l'aide de Mot de passe (déploiement de Cloud).
- Session de nouvelle authentification après 8 heures.
Lorsque vous créez des règles pour chaque type de terminal, Applications sur Workspace ONE Intelligent Hub et Navigateur Web, votre ensemble de stratégies par défaut ressemble à la capture d'écran suivante.
Flux avec cette stratégie d'accès par défaut configurée.
- UserA se connecte à l'application Workspace ONE Intelligent Hub à partir de son terminal iOS et est invité à s'authentifier à l'aide de Mobile SSO (pour iOS). La troisième règle est Mobile SSO (pour iOS) et l'authentification est réussie.
- UserA lance une ressource répertoriée dans l'application Workspace ONE Intelligent Hub et, du fait que la règle dotée du type de terminal Applications sur Workspace ONE Intelligent Hub inclut la méthode d'authentification Mobile SSO (pour iOS) comme méthode d'authentification de recours, la ressource est lancée sans redemander l'authentification. L'utilisateur peut lancer des ressources sans se connecter de nouveau pendant 2 160 heures.
Consultez également la section Configurer une règle de stratégie d'accès pour la vérification de la conformité.