Pour gérer les cas où les travailleurs peuvent utiliser l'application Workspace ONE Intelligent Hub pour accéder aux applications Web et de poste de travail à partir du catalogue d'applications de votre entreprise, dans la console Workspace ONE Access, activez et configurez la méthode d'autorisation d'accès basée sur les équipes et créez des stratégies d'accès spécifiques à une application qui spécifient les critères auxquels les utilisateurs doivent répondre pour accéder aux applications.

Le contrôle d'accès basé sur les équipes repose sur les données d'état des travailleurs récupérées à partir du système de pointage configuré dans le service de contrôle d'accès basé sur les équipes dans la console des services du Hub. Dans Workspace ONE Access, créez une stratégie d'accès avec des règles qui exigent que les travailleurs s'authentifient d'abord à l'aide d'une méthode d'authentification, puis utilisent l'autorisation basée sur les équipes pour gérer l'accès aux applications.

Le workflow de contrôle d'accès basé sur les équipes des services du Hub recherche l'état des travailleurs à partir du système de pointage Dimensions toutes les 15 minutes, et les données sont enregistrées dans la banque de données du cache des services du Hub. Lorsque des données sont envoyées et que l'état des travailleurs n'est pas disponible, le service Dimensions envoie l'état Inconnu. Pour gérer les cas où l'état de l'équipe n'est pas disponible, dans la configuration d'autorisation basée sur les équipes, vous pouvez activer ou désactiver la possibilité d'autoriser les travailleurs à l'aide de votre configuration lorsque l'état est inconnu. Si vous activez la possibilité d'autoriser les travailleurs lorsque l'état est inconnu, ceux-ci peuvent toujours accéder à leurs applications.

Conditions préalables

  • Votre système de pointage configuré dans le service de contrôle d'accès basé sur les équipes dans la console des services du Hub.
  • Une stratégie d'accès qui répertorie les applications configurées dans le catalogue Workspace ONE Access à restreindre.

Configurez ces paramètres dans la console Workspace ONE Access.

Pour plus d'informations sur la configuration du contrôle d'accès basé sur les équipes dans la plate-forme Workspace ONE, reportez-vous à la section Utilisation de VMware Workspace ONE pour le contrôle d'accès basé sur les équipes dans votre espace de travail numérique.

Procédure

Configurer la méthode d'autorisation d'accès basée sur les équipes dans Workspace ONE Access

  1. Dans la console Workspace ONE Access, accédez à la page Intégrations > Méthodes d'authentification et sélectionnez Accès basé sur les équipes.
    Page Méthodes d'autorisation de la console Workspace ONE Access avec l'accès basé sur les équipes mis en évidence
  2. Cliquez sur CONFIGURER pour activer la méthode d'autorisation et définir des fonctionnalités facultatives.

    Option

    Description

    Activer l'autorisation basée sur les équipes

    Définissez Activer sur Oui.

    Autoriser la valeur « Inconnu » pour l'état de l'équipe.

    Ce champ est facultatif. L'état Inconnu indique l'indisponibilité de l'état de l'équipe du travailleur.

    La valeur par défaut est Désactivé, les travailleurs dont l'état est inconnu ne sont pas autorisés à accéder à leurs applications.

    Lorsque l'option Autoriser la valeur « Inconnu » pour l'état de l'équipe est activée, les travailleurs dont l'état est Inconnu, qu'ils soient en service ou non, sont autorisés à accéder à leurs applications.

    Autoriser que l'état de l'équipe soit inaccessible

    Ce champ est facultatif. Si votre entreprise souhaite donner la priorité de l'accès aux utilisateurs lorsque le système d'équipe est inactif, activez ce champ inaccessible.

    La valeur par défaut est Désactivé. Lorsque l'option Autoriser que l'état de l'équipe soit inaccessible est activée, Workspace ONE Access gère l'autorisation en fonction de la manière dont votre entreprise utilise le système de pointage.

    Cliquez sur ENREGISTRER.

  3. Accédez à la page Fournisseurs d'identité et sélectionnez le fournisseur d'identité intégré à configurer avec l'autorisation d'accès basée sur les équipes.
    1. S'il s'agit d'un nouveau fournisseur d'identité, dans la section Informations générales, ajoutez le nom du fournisseur d'identité et, dans la section Utilisateurs, sélectionnez l'annuaire qui inclut les groupes d'utilisateurs du contrôle d'accès basé sur les équipes.
    2. Dans la section Méthodes d'authentification, sélectionnez Accès basé sur les équipes.
    3. Dans la section Réseau, sélectionnez les plages réseau appropriées.
    4. En haut de la page, cliquez sur ENREGISTRER.
    Page Fournisseur d'identité de la console Workspace ONE Access pour la configuration de l'accès basé sur les équipes

Créer une stratégie d'accès

Créez une stratégie d'accès spécifique à l'application avec des règles qui nécessitent d'abord une authentification, suivie d'une autorisation basée sur les équipes pour accéder à l'application.

  1. Dans la console Workspace ONE Access, accédez à Ressources > Stratégies et cliquez sur AJOUTER UNE STRATÉGIE.
  2. Sur la page Définition, dans le champ Nom de la stratégie, entrez un nom pour la stratégie et, dans la zone de texte Description, décrivez l'objectif de la stratégie. Par exemple, Stratégie de gestion de l'accès des travailleurs basé sur les équipes.
  3. Dans la section S'applique à, sélectionnez les noms d'applications qui nécessitent l'autorisation basée sur les équipes pour accéder à une application, puis cliquez sur SUIVANT.
  4. Sur la page Configuration, cliquez sur + AJOUTER UNE RÈGLE DE STRATÉGIE.

    Option

    Description

    Si la plage réseau d'un utilisateur est

    Sélectionnez la plage réseau que les travailleurs peuvent utiliser pour se connecter et accéder aux applications. La valeur par défaut est Toutes les plages.

    et l'utilisateur accédant au contenu à partir de

    Sélectionnez le type de périphérique auquel cette règle s'applique.

    Sélectionnez l'option Tous les types de terminaux pour une règle de stratégie qui s'applique à tous les accès.

    et l'utilisateur appartenant aux groupes

    Si cette règle d'accès va s'appliquer à des groupes spécifiques, recherchez les groupes dans la zone de recherche.

    Si aucun groupe n'est sélectionné, la règle de stratégie d'accès s'applique à tous les utilisateurs.

    Puis effectuez cette action

    Sélectionnez Authentification à l'aide de…

    l'utilisateur peut ainsi s'authentifier à l'aide de

    Configurez la méthode d'authentification, puis la méthode d'autorisation d'accès basée sur les équipes.

    1. Sélectionnez la méthode d'authentification que le travailleur doit utiliser pour accéder à l'application.
    2. Cliquez sur +, puis sélectionnez Accès basé sur les équipes.

    Si la méthode précédente échoue ou qu'elle ne s'applique pas, alors

    Si vous configurez une méthode d'authentification de secours, cliquez sur + pour ajouter Accès basé sur les équipes à la configuration de secours.

    Nouvelle authentification après

    Définissez le nombre d'heures pendant lequel cette authentification est valide. La valeur Renouveler l'authentification au bout de détermine la durée maximale dont disposent les utilisateurs depuis leur dernier événement d'authentification pour accéder à l'application.

    Lorsqu'un travailleur dispose d'un jeton de session valide, il peut accéder à l'application jusqu'à ce que le délai Renouveler l'authentification au bout de termine la session, même lorsqu'il n'est pas en service.

    La valeur par défaut est de 8 heures. Vous souhaiterez peut-être raccourcir ce délai de réauthentification.

    (Recommandé) Propriétés avancées > Message d'erreur personnalisé

    Créez un message d'erreur personnalisé qui explique pourquoi l'utilisateur ne peut pas accéder à une application.

  5. Cliquez sur ENREGISTRER.
  6. Créez une règle de stratégie pour chaque méthode d'authentification configurée dans Workspace ONE Access.
  7. Cliquez sur SUIVANT.
  8. Sur la page Configuration, organisez les règles dans la liste selon la manière dont elles sont appliquées.

    L'ordre dans lequel les règles sont répertoriées sur la page Configuration de la stratégie indique l'ordre d'application des règles. Lorsqu'un terminal correspond aux conditions de la règle, celle-ci est exécutée et les règles suivantes sont ignorées.

Page Configuration de la règle de stratégie Workspace ONE Access