In Workspace ONE Access è possibile creare criteri di accesso personalizzati per singole applicazioni Web e desktop incluse nel catalogo. Questi criteri di accesso possono limitare l'accesso in base alla posizione, al tipo di dispositivo, al metodo di autenticazione e alla durata della sessione. Per limitare l'accesso, è possibile associare un gruppo specifico alla regola di un'applicazione.
Di seguito sono disponibili esempi di criteri specifici di applicazioni Web che è possibile creare per controllare l'accesso a determinate applicazioni Web.
Esempio 1: criterio di base specifico di un'applicazione Web assegnato a un gruppo
In questo esempio, un nuovo criterio di accesso specifico di un'applicazione viene creato e applicato ad applicazioni Web a cui il gruppo Team vendite può accedere. Vengono applicate due regole. La prima regola è specifica per gli utenti del gruppo Team vendite che accedono all'app dalla rete interna.
La regola per accedere dalla rete interna viene configurata come indicato di seguito.
- L'intervallo di rete è RETE INTERNA.
- Gli utenti possono accedere al contenuto da Browser Web.
- Gli utenti appartengono al gruppo Team vendite.
- Il primo metodo di autenticazione è Kerberos.
- Il metodo di fallback è Password.
- La riautenticazione della sessione deve essere eseguita dopo 8 ore.
Per accedere alle applicazioni del team delle vendite dalla rete interna, un membro del gruppo Team vendite, avvia un'app da un browser Web. Gli viene richiesto di immettere un nome e una password Kerberos. Se l'autenticazione Kerberos non riesce, all'utente viene richiesto di immettere la password di Active Directory. La sessione è disponibile per otto ore. Dopo otto ore, all'utente viene richiesto di eseguire nuovamente l'accesso.
La seconda regola viene applicata se gli utenti del gruppo Team vendite accedono all'app da un sito esterno mediante un browser Web.
La regola per accedere da un sito esterno va configurata come indicato di seguito.
- L'intervallo di rete è TUTTI GLI INTERVALLI.
- Gli utenti possono accedere al contenuto da Browser Web.
- Gli utenti appartengono al gruppo Team vendite.
- I metodi di autenticazione implementati includono la possibilità di accedere con dispositivi mobili e da un computer.
- L'autenticazione viene eseguita mediante SSO mobile (per iOS).
- Il metodo di fallback è SSO mobile (per Android).
- Il metodo di fallback è RSA SecurID.
- La riautenticazione della sessione deve essere eseguita dopo 4 ore.
Per accedere a queste applicazioni dall'esterno della rete aziendale, in base al tipo di dispositivo, all'utente viene richiesto di accedere con il passcode del dispositivo mobile o con il passcode di RSA SecurID. La sessione inizia ed è disponibile per quattro ore. Dopo quattro ore, all'utente viene richiesto di eseguire nuovamente l'accesso.
Esempio 2: criterio rigido specifico di un'applicazione Web assegnato a un gruppo
In questo esempio, un criterio di accesso specifico dell'applicazione viene creato e applicato a un'applicazione Web che contiene dati estremamente sensibili. I membri del gruppo Team vendite possono accedere a questa applicazione da qualsiasi tipo di dispositivo, ma solo per un'ora prima che venga richiesta nuovamente l'autenticazione.
- L'intervallo di rete è TUTTI GLI INTERVALLI.
- Gli utenti possono accedere al contenuto da Tutti i tipi di dispositivi.
- Gli utenti appartengono al gruppo Team vendite.
- Il metodo di autenticazione è RSA SecurID.
- La riautenticazione della sessione deve essere eseguita dopo 1 ora.
Un utente del gruppo Team vendite esegue l'accesso. In base alle regole dei criteri di accesso predefiniti, viene eseguita l'autenticazione dell'utente che quindi può accedere al portale delle app e alle risorse. L'utente fa clic sull'app che viene gestita dalla regola del criterio di accesso rigido come specificato nell'esempio 2. L'utente viene reindirizzato alla pagina di accesso dell'autenticazione RSA SecurID.
Dopo il corretto accesso dell'utente, il servizio avvia l'app e salva l'evento di autenticazione. L'utente può continuare ad avviare l'app senza dover eseguire l'accesso per un'ora. Dopo un'ora, all'utente viene richiesto di ripetere l'autenticazione tramite RSA SecurID.