Per implementare l'esperienza Single Sign-On quando gli utenti accedono alle risorse dall'app Workspace ONE Intelligent Hub, il criterio di accesso predefinito viene configurato in Workspace ONE Access con regole per ogni tipo di dispositivo utilizzato nell'ambiente, ovvero Android, iOS, MacOS o Windows 10.

In questo esempio di configurazione di criterio di accesso predefinito, il criterio di accesso predefinito viene creato con regole che riguardano gli utenti che accedono da tutti gli intervalli di rete. Per l'accesso gestito, la conformità del dispositivo per Workspace ONE UEM è configurata per i dispositivi e le regole dell'app Workspace ONE Intelligent Hub. Vengono create le seguenti regole.

  • Una regola per ogni tipo di dispositivo che può essere utilizzato per accedere all'app Workspace ONE Intelligent Hub.
  • Una regola per l'accesso degli utenti dal tipo di dispositivo App su Workspace ONE Intelligent Hub per l'app Workspace ONE Intelligent Hub. Tutti i metodi di autenticazione per tutti i dispositivi supportati sono configurati in questa regola. Il metodo di autenticazione della conformità del dispositivo viene applicato per supportare l'accesso dai dispositivi gestiti.
  • Una regola per l'accesso degli utenti dal tipo di dispositivo Browser Web per accedere al portale Hub da qualsiasi browser Web.
  • Una regola per gli utenti dei dispositivi non gestiti per l'accesso alle risorse.

Se si utilizza uno dei dispositivi per accedere all'app Workspace ONE Intelligent Hub, tale dispositivo viene autenticato in base al metodo di autenticazione configurato per il tipo di dispositivo. Dopo che l'utente ha eseguito correttamente l'autenticazione, quando avvia altre risorse dall'app Workspace ONE Intelligent Hub, tale metodo di autenticazione viene riconosciuto e all'utente non viene richiesto di eseguire nuovamente l'autenticazione.

Se il metodo di autenticazione utilizzato per l'autenticazione non viene riconosciuto quando un utente avvia risorse dall'app Workspace ONE Intelligent Hub, all'utente viene richiesto di eseguire l'autenticazione in base alla regola che consente agli utenti di accedere ai contenuti dal tipo di dispositivo App su Workspace ONE Intelligent Hub.

Esempio di condizioni per la regola dei criteri di accesso da utilizzare per Workspace ONE

Per garantire un'esperienza utente ottimale, elencare il tipo di dispositivo App su Workspace ONE Intelligent Hub come prima regola nel criterio di accesso predefinito. Quando questa la regola è la prima nell'elenco, gli utenti hanno accesso all'applicazione e possono avviare le risorse senza riautenticazione fino a quando la sessione non scade.

1. Creare regole per ogni dispositivo utilizzabile per accedere all'app Workspace ONE Intelligent Hub. Questo esempio illustra la regola per consentire l'accesso dal tipo dispositivo iOS.

  • L'intervallo di rete è TUTTI GLI INTERVALLI.
  • Gli utenti possono accedere al contenuto da iOS.
  • Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
  • Configurare tutti i metodi di autenticazione supportati.
    • Eseguire l'autenticazione utilizzando SSO mobile (per iOS) e Conformità dispositivo (con Workspace ONE UEM).
    • Metodo di fallback 1: Password (distribuzione cloud).
  • La riautenticazione della sessione deve essere eseguita dopo 8 ore.

2. Creare la regola per il tipo di dispositivo App su Workspace ONE Intelligent Hub. Ogni metodo di autenticazione configurato per i dispositivi nel passaggio 1 deve essere incluso nella regola.

  • L'intervallo di rete è TUTTI GLI INTERVALLI.
  • Gli utenti possono accedere al contenuto da App su Workspace ONE Intelligent Hub.
  • Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
  • Configurare tutti i metodi di autenticazione supportati.
    • Eseguire l'autenticazione utilizzando SSO mobile (per iOS) e Conformità dispositivo (con Workspace ONE UEM).
    • Metodo di fallback 1: SSO mobile (per Android) e Conformità dispositivo (con Workspace ONE UEM).
    • Metodo di fallback 2: Password (distribuzione cloud).
  • La riautenticazione della sessione deve essere eseguita dopo 2.160 ore.

2.160 ore equivalgono a 90 giorni.

3. Creare una regola per il tipo di dispositivo Browser Web per accedere al portale di Hub da qualsiasi browser Web. In questo esempio è incluso come fallback il metodo di autenticazione Password (Directory locale). Per l'autenticazione degli amministratori di sistema che accedono, deve essere configurata almeno una regola per l'autenticazione tramite Password (Directory locale). Il timeout della sessione avviene dopo 24 ore.

  • L'intervallo di rete è TUTTI GLI INTERVALLI.
  • Gli utenti possono accedere al contenuto da Browser Web.
  • Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
  • Configurare tutti i metodi di autenticazione supportati.
    • Eseguire l'autenticazione mediante Password (distribuzione cloud).
    • Metodo di fallback 2: Password.
    • Metodo di fallback 3: Password (Directory locale).
  • La riautenticazione della sessione deve essere eseguita dopo 8 ore.

4. Creare una regola per l'accesso di tutti i tipi di dispositivo alle risorse non gestite.

  • L'intervallo di rete è TUTTI GLI INTERVALLI.
  • Gli utenti possono accedere al contenuto da Tutti i dispositivi.
  • Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
  • Configurare tutti i metodi di autenticazione supportati.
    • Eseguire l'autenticazione mediante Password (distribuzione cloud).
  • La riautenticazione della sessione deve essere eseguita dopo 8 ore.

Quando si creano regole per ciascun tipo di dispositivo, ovvero App su Workspace ONE Intelligent Hub e Browser Web, il set di criteri predefinito ha l'aspetto riprodotto nella schermata che segue.

Figura 1. Set di criteri predefinito con tipo di dispositivo App su Workspace ONE Intelligent Hub elencato per primo
Esempio dell'ordine della regola con tipo di dispositivo App su Workspace ONE Intelligent Hub impostato come primo nel criterio di accesso predefinito

Flusso con questo criterio di accesso predefinito configurato.

  1. L'utente accede all'app Workspace ONE Intelligent Hub dal proprio dispositivo iOS e gli viene chiesto di eseguire l'autenticazione con SSO mobile (per iOS). La terza regola è SSO mobile (per iOS) e l'autenticazione viene eseguita correttamente.
  2. L'utente avvia una risorsa elencata nell'app Workspace ONE Intelligent Hub e, poiché la regola con tipo di dispositivo App su Workspace ONE Intelligent Hub include il metodo di autenticazione SSO mobile (per iOS) come metodo di autenticazione di fallback, la risorsa viene avviata senza che venga nuovamente richiesta l'autenticazione. L'utente può avviare le risorse senza dover effettuare nuovamente l'accesso per 2160 ore.

Vedere anche l'argomento relativo alla configurazione della regola del criterio di accesso per il controllo di conformità.