Un criterio contiene una o più regole di accesso. Ogni regola è costituita da impostazioni che è possibile configurare per gestire l'accesso degli utenti al loro portale Workspace ONE nel suo insieme o ad applicazioni Web e desktop specifiche.
È possibile configurare una regola dei criteri per eseguire operazioni come bloccare, consentire o applicare l'autenticazione incrementale degli utenti in base a condizioni come la rete, il tipo di dispositivo, la registrazione del dispositivo in AirWatch e lo stato di conformità o l'applicazione a cui si accede. È possibile aggiungere gruppi a un criterio per gestire l'autenticazione per gruppi specifici.
Intervallo di rete
Per ogni regola, si determina la base degli utenti specificando un intervallo di rete. Un intervallo di rete è costituito da uno o più intervalli IP. È possibile creare gli intervalli di rete nella scheda Gestione identità e accessi, nella pagina Configura > Intervalli di rete prima di configurare i set dei criteri di accesso.
Ogni istanza del provider di identità nella distribuzione collega gli intervalli di rete ai metodi di autenticazione. Quando si configura una regola dei criteri, verificare che l'intervallo di rete sia coperto da un'istanza del provider di identità esistente.
È possibile configurare intervalli di rete specifici per limitare da dove gli utenti possono eseguire il login e accedere alle proprie applicazioni.
Tipo di dispositivo
Selezionare il tipo di dispositivo gestito dalla regola. I tipi di client sono browser Web, l'app Workspace ONE, iOS, Android, Windows 10, OS X e Tutti i tipi di dispositivi.
È possibile configurare regole per stabilire quali tipi di dispositivi possono accedere a contenuti, in questo modo tutte le richieste di autenticazione provenienti da quel tipo di dispositivo utilizzeranno la regola del criterio.
Aggiungere gruppi
È possibile applicare criteri diversi per l'autenticazione in base all'appartenenza degli utenti ai gruppi. Per fare in modo che gruppi di utenti possano accedere tramite un flusso di autenticazione specifico, è possibile aggiungere gruppi alla regola dei criteri di accesso. I gruppi possono essere gruppi sincronizzati dalla directory aziendale e gruppi locali creati nella console di amministrazione. I nomi dei gruppi devono essere univoci all'interno dello stesso dominio.
Per utilizzare gruppi nelle regole dei criteri di accesso, selezionare un identificatore univoco nella pagina Gestione identità e accessi > Preferenze. L'attributo identificatore univoco deve essere mappato nella pagina Attributi utente e l'attributo selezionato deve essere sincronizzato nella directory. L'identificatore univoco può essere il nome utente, l'indirizzo e-mail, un UPN o l'ID dipendente. Vedere Esperienza di accesso mediante identificatore univoco.
Quando i gruppi vengono utilizzati in una regola dei criteri di accesso, l'esperienza di accesso dell'utente cambia. Anziché richiedere agli utenti di selezionare il proprio dominio e quindi immettere le credenziali, viene visualizzata una pagina che richiede agli utenti di immettere il proprio identificatore univoco. VMware Identity Manager individua l'utente nel database interno, in base all'identificatore univoco, e visualizza la pagina di autenticazione configurata nella regola.
Se non viene selezionato alcun gruppo, la regola dei criteri di accesso viene applicata a tutti gli utenti. Quando si configurano regole dei criteri di accesso che includono regole basate sui gruppi e una regola per tutti gli utenti, assicurarsi che la regola designata per tutti gli utenti sia l'ultima elencata nella sezione Regole del criterio nel criterio.
Metodi di autenticazione
Nella regola del criterio, impostare l'ordine di applicazione dei metodi di autenticazione. I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati. Viene selezionata la prima istanza del provider di identità che soddisfa il metodo di autenticazione e la configurazione dell'intervallo di rete nel criterio. La richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione non riesce, viene selezionato il metodo di autenticazione successivo nell'elenco.
Durata della sessione di autenticazione
Per ogni regola è possibile impostare periodo di validità dell'autenticazione espresso in numero di ore. Il valore di Nuova autenticazione dopo determina la quantità di tempo massima di cui gli utenti dispongono dopo l'ultimo evento di autenticazione per accedere al proprio portale o avviare un'applicazione specifica. Ad esempio, il valore 4 nella regola di un'applicazione Web concede agli utenti quattro ore per avviare l'applicazione Web, a meno che non inizializzino un altro evento di autenticazione che estenda il tempo.
Messaggio di errore di accesso negato personalizzato
Quando gli utenti tentano di accedere con esito negativo a causa di credenziali non valide, errata configurazione o errore di sistema, viene visualizzato un messaggio di accesso negato. Il messaggio predefinito è Accesso negato in quanto non sono stati trovati metodi di autenticazione validi.
È possibile creare un messaggio di errore personalizzato per ogni regola di criterio di accesso da visualizzare al posto del messaggio predefinito. Il messaggio personalizzato può includere testo e un collegamento per eseguire un'azione stabilita. Nella regola di un criterio per i dispositivi mobili che si desidera gestire, è ad esempio possibile creare il seguente messaggio di errore personalizzato da visualizzare quando un utente tenta di accedere da un dispositivo non registrato: Registrare il dispositivo per accedere alle risorse dell'azienda facendo clic sul collegamento alla fine di questo messaggio. Se il dispositivo è già registrato, contattare il supporto tecnico per ricevere assistenza.