È possibile creare regole dei criteri di accesso che specifichino i criteri che devono essere soddisfatti per accedere al portale Workspace ONE e alle applicazioni autorizzate nel loro insieme. È inoltre possibile creare criteri di accesso specifici delle applicazioni con regole per gestire l'accesso degli utenti a determinate applicazioni Web e desktop.
Intervallo di rete
Alla regola di un criterio di accesso vengono assegnati indirizzi di rete per gestire l'accesso degli utenti in base all'indirizzo IP utilizzato per accedere alle app. Quando il servizio Workspace ONE Access è configurato in locale, è possibile configurare intervalli di indirizzi IP di rete per l'accesso alla rete interna e alla rete esterna. È quindi possibile creare regole diverse in base all'intervallo di rete configurato nella regola.
Gli intervalli di rete vengono configurati dalla pagina Gestione > Criteri > Intervalli di rete della scheda Gestione identità e accessi prima di configurare le regole dei criteri di accesso.
Ogni istanza del fornitore di identità nella distribuzione viene configurata per collegare gli intervalli di rete ai metodi di autenticazione. Quando si configura una regola dei criteri, verificare che l'intervallo di rete selezionato sia coperto da un'istanza del fornitore di identità esistente.
Tipo di dispositivo
Le regole dei criteri di accesso vengono configurate per gestire il tipo di dispositivo utilizzato per accedere al portale e alle risorse. I dispositivi che è possibile specificare includono i dispositivi mobili iOS e Android, i computer con sistema operativo Windows 10 o macOS, browser Web, l'app Workspace ONE & Intelligent Hub o tutti i tipi di dispositivi.
La regola del criterio con tipo di dispositivo App Workspace ONE & Intelligent Hub definisce i criteri di accesso per l'avvio delle applicazioni dall'app Workspace ONE o Intelligent Hub dopo l'accesso da un dispositivo. Quando questa regola è la prima regola nell'elenco dei criteri, dopo l'autenticazione gli utenti possono rimanere connessi all'app e accedere alle risorse per un periodo che può arrivare fino a 90 giorni in base all'impostazione predefinita.
La regola del criterio con tipo di dispositivo Browser Web definisce un criterio di accesso utilizzando un tipo qualsiasi di browser Web, indipendentemente dal tipo di hardware e dal sistema operativo del dispositivo.
La regola del criterio con tipo di dispositivo Tutti i tipi di dispositivi soddisfa tutti i casi di accesso.
Quando l'app Workspace ONE o Intelligent Hub viene utilizzata per accedere alle app, i tipi di dispositivi vengono organizzati nel criterio impostato con la prima regola del tipo di dispositivo dell'app Workspace ONE, seguita dai tipi di dispositivi browser Web mobili, Windows e macOS. La voce Tutti i tipi di dispositivi è elencata per ultima. L'ordine in cui le regole sono elencate indica l'ordine in cui vengono applicate. Quando un tipo di dispositivo soddisfa il metodo di autenticazione, le regole successive vengono ignorate. Se la regola con tipo di dispositivo App Workspace ONE non è la prima nell'elenco dei criteri, gli utenti non possono rimanere connessi all'app Workspace ONE per il periodo di tempo esteso. Vedere Applicazione delle regole dell'app Workspace ONE ai criteri di accesso.
Aggiungere gruppi
È possibile applicare regole di autenticazione diverse in base all'appartenenza degli utenti ai gruppi. I gruppi possono essere gruppi sincronizzati dalla directory aziendale e gruppi locali creati nella console di Workspace ONE Access.
Quando si assegnano gruppi a una regola del criterio di accesso, agli utenti viene richiesto di immettere il proprio identificatore univoco e quindi di accedere alla procedura di autenticazione in base alla regola del criterio di accesso. Vedere l'argomento relativo all'esperienza di accesso mediante identificatore univoco nella guida all'amministrazione di Workspace ONE Access. Per impostazione predefinita, l'identificatore univoco è userName. Passare alla pagina Gestione identità e accessi > Configurazione > Preferenze per visualizzare il valore dell'identificatore univoco configurato o per modificare l'identificatore.
Azioni gestite da regole
È possibile configurare una regola del criterio di accesso per consentire o negare l'accesso all'area di lavoro e alle risorse. Quando un criterio è configurato per fornire l'accesso a determinate applicazioni, è inoltre possibile specificare l'azione per consentire l'accesso all'app senza che venga richiesta alcuna ulteriore autenticazione. Affinché questa azione venga applicata, l'autenticazione dell'utente deve essere già stata eseguita dal criterio di accesso predefinito.
Nella regola è possibile applicare in modo selettivo condizioni che si applicano all'azione per definire ad esempio quali reti, tipi di dispositivi e gruppi includere, nonché lo stato di registrazione e conformità del dispositivo. Quando l'azione nega l'accesso, gli utenti non possono accedere o avviare app dal tipo di dispositivo e dall'intervallo di rete configurati nella regola.
Metodi di autenticazione
I metodi di autenticazione configurati nel servizio Workspace ONE Access vengono applicati alle regole dei criteri di accesso. Per ogni regola, selezionare il tipo di metodo di autenticazione da utilizzare per verificare l'identità degli utenti che accedono a Workspace ONE oppure a un'app. È possibile selezionare più metodi di autenticazione in una regola.
I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati nella regola. Viene selezionata la prima istanza del fornitore di identità che soddisfa il metodo di autenticazione e l'intervallo di rete configurati nella regola. La richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione non riesce, viene selezionato il metodo di autenticazione successivo nell'elenco.
Nelle regole dei criteri di accesso è possibile configurare il concatenamento dell'autenticazione per richiedere agli utenti di immettere le credenziali attraverso più metodi di autenticazione prima di poter accedere. Vengono configurate due condizioni di autenticazione in una regola e l'utente deve rispondere correttamente a entrambe le richieste di autenticazione. Ad esempio, se si imposta l'autenticazione mediante password e VMware Verify, gli utenti devono immettere la password e il passcode di VMware Verify per consentire l'autenticazione.
Per fornire un'altra possibilità di accedere agli utenti che non riescono ad eseguire l'autenticazione mediante un determinato metodo, è possibile configurare l'autenticazione di fallback. Se un metodo di autenticazione non consente di eseguire l'autenticazione dell'utente e sono configurati anche i metodi di fallback, all'utente viene richiesto di immettere le credenziali per i metodi di autenticazione aggiuntivi configurati. I due scenari seguenti descrivono come funziona il fallback.
- Nel primo scenario, la regola del criterio di accesso viene configurata in modo da richiedere agli utenti di eseguire l'autenticazione con la password e il passcode di VMware Verify. L'autenticazione di fallback viene impostata per richiedere la password e le credenziali RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere il passcode di VMware Verify corretto. Poiché l'utente ha immesso la password corretta, la richiesta di autenticazione di fallback si riferisce solo alle credenziali RADIUS. L'utente non deve immettere di nuovo la password.
- Nel secondo scenario, la regola del criterio di accesso viene configurata in modo da richiedere agli utenti di eseguire l'autenticazione con la password e il passcode di VMware Verify. L'autenticazione di fallback è configurata in modo da richiedere le credenziali RSA SecurID e RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere il passcode di VMware Verify corretto. La richiesta di autenticazione di fallback si riferisce sia alle credenziali RSA SecurID sia alle credenziali RADIUS per l'autenticazione.
Per configurare una regola dei criteri di accesso che richieda l'autenticazione e la verifica della conformità del dispositivo per i dispositivi gestiti da Workspace ONE UEM, è necessario abilitare l'opzione Conformità dispositivo (con AirWatch) nella pagina del fornitore di identità integrato. Vedere Abilitazione del controllo di conformità per i dispositivi gestiti di Workspace ONE UEM. I metodi di autenticazione del fornitore di identità integrato che possono essere concatenati con l'opzione Conformità dispositivo (con AirWatch) sono SSO mobile (per iOS), SSO mobile (per Android) e Certificato (distribuzione cloud).
Quando VMware Verify viene utilizzato per l'autenticazione a due fattori, VMware Verify è il secondo metodo di autenticazione nella catena di autenticazioni. VMware Verify deve essere abilitato nella pagina del provider di identità integrato. Vedere Configurazione di VMware Verify per l'autenticazione a due fattori.
Durata della sessione di autenticazione
Per ogni regola è possibile impostare periodo di validità dell'autenticazione espresso in numero di ore. Il valore di Nuova autenticazione dopo determina la quantità di tempo massima di cui gli utenti dispongono dopo l'ultimo evento di autenticazione per accedere al portale o aprire un'applicazione specifica. Ad esempio, il valore 8 nella regola di un'applicazione Web indica che dopo aver eseguito l'autenticazione, gli utenti non devono eseguirla nuovamente per 8 ore.
L'impostazione della regola del criterio Nuova autenticazione dopo non controlla le sessioni dell'applicazione. L'impostazione controlla il tempo trascorso il quale gli utenti devono eseguire nuovamente l'autenticazione.
Messaggio di errore di accesso negato personalizzato
Quando gli utenti tentano di accedere e non riescono a causa di credenziali non valide, configurazione non corretta o errore di sistema, viene visualizzato un messaggio di accesso negato. Il messaggio predefinito è Accesso negato in quanto non sono stati trovati metodi di autenticazione validi.
È possibile creare un messaggio di errore personalizzato che andrà a sostituire il messaggio predefinito per ogni regola dei criteri di accesso. Il messaggio personalizzato può includere testo e un collegamento per eseguire un'azione stabilita. Nella regola di un criterio per limitare l'accesso ai dispositivi registrati, è ad esempio possibile creare il seguente messaggio di errore personalizzato da visualizzare quando un utente tenta di accedere da un dispositivo non registrato. Registrare il dispositivo per accedere alle risorse dell'azienda facendo clic sul collegamento alla fine di questo messaggio. Se il dispositivo è già registrato, contattare il supporto tecnico per ricevere assistenza.