Pour fournir un accès sécurisé aux applications SaaS, vous configurez des politiques d'accès. Les politiques d'accès comprennent des règles qui spécifient les critères devant être respectés pour la connexion au portail Workspace ONE et l'utilisation des applications.

Pour plus d'informations sur les stratégies d'accès dans le système Workspace ONE UEM, consultez la documentation de Workspace ONE Access et recherchez Gestion des stratégies d'accès.

Flexibilité des politiques d'accès

Les politiques d'accès vous permettent de contrôler le réseau et de limiter l'accès en dehors du réseau. Par exemple, vous pouvez configurer une politique d'accès avec les règles suivantes.

  • Autorisez l'accès à une plage de réseau par connexion SSO dans le réseau de l'entreprise.
  • Configurez la même politique pour exiger une authentification multifacteur en dehors du réseau de l'entreprise.
  • Configurez la politique permettant d'accéder à un groupe d'utilisateurs spécifique avec un type de propriété de terminal spécifique. Elle peut bloquer l'accès des autres utilisateurs qui ne font pas partie du groupe.

Politique d'accès par défaut et politiques d'accès propres aux applications

Stratégie d'accès par défaut – Le service Workspace ONE Access et Workspace ONE UEM Console comprennent une stratégie par défaut qui contrôle l'accès à toutes les applications SaaS. Cette politique autorise l'accès à toutes les plages de réseau, depuis tous les types de terminaux et pour tous les utilisateurs. Vous pouvez modifier la politique d'accès par défaut, mais vous ne pouvez pas la supprimer.

Important : les modifications apportées à la politique d'accès par défaut s'appliquent à toutes les applications et peuvent avoir une incidence sur la capacité de tous les utilisateurs à accéder à Workspace ONE.

Ajout de plages réseau pour les politiques d'accès

Définissez les plages réseau avec les adresses IP autorisées pour les connexions des utilisateurs aux applications SaaS. Attribuez ces plages lorsque vous appliquez des règles d'accès aux applications SaaS. Vous avez besoin des plages réseau pour les déploiements Workspace ONE Access et Workspace ONE UEM. C'est le service réseau de l'organisation qui connaît généralement de la topologie réseau.
  1. Accédez à Ressources > Applications > Stratégies d'accès > Plages réseau.
  2. Sélectionnez un nom et modifiez la plage ou sélectionnez Ajouter une plage de réseau.
  3. Complétez les options de définition des plages.
    Paramètre Description
    Nom Saisissez le nom de la plage de réseau.
    Description Saisissez la description de la plage de réseau.
    Plages IP Saisissez les adresses IP qui comprennent les terminaux applicables dans la plage.
    Ajouter une ligne Définissez plusieurs plages d'adresses IP.

Configurer les politiques d'accès propres aux applications

Vous pouvez ajouter des stratégies d'accès propres aux applications afin de contrôler l'accès des utilisateurs aux applications SaaS.

  1. Accédez à Ressources > Applications > Stratégies d'accès > Ajouter une stratégie.
  2. Configurez les options de l'onglet Définition.
    Paramètre Description
    Nom de la politique Saisissez le nom de politique.

    Les paramètres répertoriés correspondent aux critères autorisés.

    • Commence par une lettre minuscule ou majuscule, de a-Z.
    • Comprend d'autres lettres minuscules ou majuscules, de a-Z.
    • Vous pouvez inclure des barres obliques.
    • Vous pouvez inclure des chiffres.
    Description (Facultatif) Fournissez une description pour la politique.
    S'applique à Sélectionnez les applications SaaS auxquelles vous souhaitez attribuer la politique.
  3. Complétez les options de l'onglet Configuration, puis sélectionnez Ajouter une règle de politique ou modifiez une politique existante.
    Paramètre Description
    Si la plage de réseau d'un utilisateur est Sélectionnez la plage de réseau configurée lors du traitement des plages de réseau.
    et que l'utilisateur accède au contenu depuis Sélectionnez les types de terminal autorisés à accéder au contenu en fonction des critères de cette politique.
    Et si l'utilisateur appartient au(x) groupe(s) Sélectionnez les groupes d'utilisateur autorisés à accéder au contenu en fonction des critères de cette politique.

    Si vous ne sélectionnez aucun groupe, la politique s'applique à tous les utilisateurs.

    Effectuez cette action Autorisez l'authentification, refusez l'authentification ou autorisez l'accès sans authentification.
    l'utilisateur peut s'authentifier avec Sélectionnez la méthode d'authentification initiale pour accéder au contenu.
    Si la méthode précédente échoue ou n'est pas applicable, Sélectionnez une autre méthode pour authentifier le contenu en cas de défaillance de la méthode initiale.
    ajoutez une méthode de repli Ajoutez une autre méthode d'authentification.

    Le système traite les méthodes de haut en bas ; aussi, ajoutez-les dans l'ordre dans lequel vous souhaitez que le système les applique.

    réauthentifiez-vous après Sélectionnez la durée d'une session d'accès avant que l'utilisateur doive se réauthentifier pour accéder au contenu.
    Paramètre – Propriétés avancées Description – Propriétés avancées
    Message d'erreur personnalisé Saisissez un message d'erreur personnalisé de type « Arrêt refusé » que le système affiche lorsque l'utilisateur ne parvient pas à s'authentifier.
    Texte du lien d'erreur personnalisé Saisissez le texte du lien qui permet aux utilisateurs de quitter la page d'erreur « Accès refusé » en cas d'échec de l'authentification.
    URL du lien d'erreur personnalisé Saisissez l'adresse URL qui permet aux utilisateurs de quitter la page en cas d'échec de l'authentification.
  4. Affichez le récapitulatif de la politique d'accès propre aux applications.

Authentification unique entre Workspace ONE UEM et Workspace ONE Access pour les applications SaaS et les stratégies d'accès

Workspace ONE UEM Console et Workspace ONE Access utilisent un workflow de code d'autorisation qui permet d'accéder à la console Workspace ONE Access via Workspace ONE UEM Console et qui permet aux administrateurs de travailler sur les configurations d'applications SaaS. Ce flux est propre aux applications SaaS et aux politiques d'accès dans Workspace ONE UEM. Les ajouts et les modifications apportés dans Workspace ONE UEM sont reflétés dans Workspace ONE UEM.

Enregistrer le client OAuth pendant l'installation

Lorsque vous configurez Workspace ONE Access dans Workspace ONE UEM Console, vous enregistrez le client OAuth à l'aide de l'assistant de configuration. L'enregistrement du client OAuth est une condition préalable pour que cette fonctionnalité d'authentification unique fonctionne.

Flux de travail

Workspace ONE Access et Workspace ONE UEM travaillent en back-end pour authentifier l'administrateur Workspace ONE UEM dans Workspace ONE Access. La console Workspace ONE Access transmet un jeton d'ID à Workspace ONE UEM. Ce jeton contient des informations sur l'administrateur et l'authentification pour permettre à ce dernier d'accéder aux deux consoles. Les deux consoles suivent le processus représenté.

Workflow montrant la communication SSO entre Workspace ONE UEM et Workspace ONE UEM