Per implementare l'esperienza Single Sign-On quando gli utenti accedono alle risorse dall'app Workspace ONE, il criterio di accesso predefinito è configurato con regole per ogni tipo di dispositivo utilizzato nell'ambiente Android, iOS, Mac OS e Windows 10. È inoltre possibile creare una regola per il tipo di dispositivo App Workspace ONE.
In questo esempio di configurazione di criterio di accesso predefinito, il criterio di accesso predefinito viene creato con regole che riguardano gli utenti che accedono da tutti gli intervalli di rete. Vengono create le seguenti regole.
- Una regola per ogni dispositivo che può essere utilizzato per accedere all'app Workspace ONE.
- Una regola per l'accesso degli utenti dal tipo di dispositivo App Workspace ONE. Ogni metodo di autenticazione configurato per i dispositivi deve essere incluso nella regola.
- Una regola per l'accesso degli utenti dal tipo di dispositivo Browser Web per accedere a Workspace ONE da qualsiasi browser Web.
La regola per tipo di dispositivo App Workspace ONE è configurata con tutti i metodi di autenticazione che possono essere utilizzati per accedere all'app Workspace ONE. Viene innanzitutto assegnato un metodo di autenticazione, gli altri metodi di autenticazione sono configurati come tipi di autenticazione di fallback. Se si utilizza uno dei dispositivi per accedere all'app Workspace ONE, tale dispositivo viene autenticato in base al metodo di autenticazione configurato per il tipo di dispositivo. Dopo che l'utente ha eseguito correttamente l'autenticazione, quando si avviano le altre risorse dalla schermata dell'app Workspace ONE tale metodo di autenticazione viene riconosciuto e all'utente non viene richiesto di autenticarsi nuovamente. Se non viene riconosciuto il metodo di autenticazione utilizzato per autenticarsi su Workspace ONE, quando un utente avvia risorse dall'app Workspace ONE gli viene chiesto di eseguire l'autenticazione in base alla regola dell'app Workspace ONE.
Per garantire la migliore esperienza utente, elencare il tipo di dispositivo App Workspace ONE della prima regola nel criterio di accesso predefinito. Quando questa la regola è la prima nell'elenco, gli utenti hanno accesso all'applicazione e possono avviare le risorse senza riautenticazione fino a quando la sessione non scade.
1. Creare regole per ogni dispositivo che può essere utilizzato per accedere a Workspace ONE. Questo esempio illustra la regola per consentire l'accesso dal tipo dispositivo iOS.
- L'intervallo di rete è TUTTI GLI INTERVALLI.
- Gli utenti possono accedere al contenuto da iOS.
- Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
- Configurare tutti i metodi di autenticazione supportati.
- L'autenticazione viene eseguita mediante SSO mobile (per iOS).
- Metodo di fallback 1: Password (distribuzione cloud).
- Metodo di fallback 2: Conformità dispositivo (con AirWatch).
- La riautenticazione della sessione deve essere eseguita dopo 8 ore.
2. Creare la regola per il tipo di dispositivo App Workspace ONE. Ogni metodo di autenticazione configurato per i dispositivi deve essere incluso nella regola.
- L'intervallo di rete è TUTTI GLI INTERVALLI.
- Gli utenti possono accedere al contenuto dall'App Workspace ONE.
- Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
- Configurare tutti i metodi di autenticazione supportati.
- L'autenticazione viene eseguita mediante SSO mobile (per iOS).
- Il metodo di fallback 1 è SSO mobile (per Android).
- Metodo di fallback 2: Password (distribuzione cloud).
- Metodo di fallback 3: Conformità dispositivo (con AirWatch).
- La riautenticazione della sessione deve essere eseguita dopo 2.160 ore.
2.160 ore è pari a 90 giorni, il tempo di durata del token di aggiornamento del token Oauth dell'app Workspace ONE. Vedere Applicazione delle regole dell'app Workspace ONE ai criteri di accesso.
3. Creare una regola per il tipo di dispositivo Browser Web per accedere a Workspace ONE da qualsiasi browser Web. In questo esempio è incluso come fallback il metodo di autenticazione Password (Directory locale). Per l'autenticazione degli amministratori di sistema che accedono, deve essere configurata almeno una regola per l'autenticazione tramite Password (Directory locale). Il timeout della sessione avviene dopo 24 ore.
- L'intervallo di rete è TUTTI GLI INTERVALLI.
- Gli utenti possono accedere al contenuto da Browser Web.
- Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
- Configurare tutti i metodi di autenticazione supportati.
- Eseguire l'autenticazione mediante Password (distribuzione cloud).
- Metodo di fallback 2: Password.
- Metodo di fallback 3: Password (Directory locale).
- La riautenticazione della sessione deve essere eseguita dopo 8 ore.
Quando si creano regole per tutti i dispositivi, App Workspace ONE e Browser Web, il set di criteri predefinito ha l'aspetto riprodotto nella schermata che segue.
Flusso con questo criterio di accesso predefinito configurato.
- Utente accede all'app Workspace ONE dal proprio dispositivo iOS; gli viene chiesto di autenticarsi con SSO mobile (per iOS). L'autenticazione riesce.
- L'utente avvia una risorsa elencata nell'app Workspace ONE e, poiché la regola di App Workspace ONE include SSO mobile (per iOS) come metodo di autenticazione di fallback, la risorsa viene avviata senza che venga nuovamente richiesta l'autenticazione. L'utente può avviare le risorse senza dover nuovamente accedere a Workspace ONE per 2.160 ore.