È possibile creare regole dei criteri di accesso per specificare i criteri che gli utenti devono soddisfare per poter accedere all'area di lavoro di Workspace ONE Intelligent Hub e alle app autorizzate. È inoltre possibile creare criteri di accesso specifici delle applicazioni con regole per gestire l'accesso degli utenti a determinate applicazioni Web e desktop.
Intervallo di rete
Assegnare indirizzi di rete alla regola del criterio di accesso per gestire l'accesso degli utenti in base all'indirizzo IP utilizzato per accedere alle app. Quando il servizio Workspace ONE Access è configurato in locale, è possibile configurare intervalli di indirizzi IP di rete per l'accesso alla rete interna e alla rete esterna. È quindi possibile creare regole diverse in base all'intervallo di rete configurato nella regola.
Configurare gli intervalli di rete dalla pagina Risorse > Criteri > Intervalli di rete della console prima di configurare le regole dei criteri di accesso.
Ogni istanza del fornitore di identità nella distribuzione viene configurata per collegare gli intervalli di rete ai metodi di autenticazione. Quando si configura una regola dei criteri, verificare che l'intervallo di rete selezionato sia coperto da un'istanza del fornitore di identità esistente.
Tipo di dispositivo da cui accedere ai contenuti
Quando si configura una regola del criterio di accesso, si seleziona il tipo di dispositivo da utilizzare per accedere ai contenuti dell'app Workspace ONE Intelligent Hub. La selezione di un tipo di dispositivo in una regola consente di associare il dispositivo o lo stato di registrazione del dispositivo dell'utente alla regola del criterio di accesso che offre la migliore esperienza di autenticazione.
- L'opzione Tutti i tipi di dispositivi viene configurata in una regola del criterio che viene utilizzata in tutti i casi di accesso.
- Il tipo di dispositivo Browser Web viene configurato in una regola del criterio per accedere ai contenuti da qualsiasi browser Web, indipendentemente dal tipo di hardware o dal sistema operativo del dispositivo.
- Il tipo di dispositivo App su Workspace ONE Intelligent Hub viene configurato in una regola del criterio in modo che sia possibile accedere ai contenuti dall'app Workspace ONE Intelligent Hub dopo aver eseguito l'accesso da un dispositivo.
- Il tipo di dispositivo iOS viene configurato in una regola del criterio per accedere ai contenuti dai dispositivi iPhone e iPad.
Negli ambienti tenant del cloud di Workspace ONE Access, il tipo di dispositivo iOS corrisponde ai dispositivi iPhone e iPad, indipendentemente dal fatto che nelle impostazioni di Safari sia abilitata o meno l'opzione Richiedi sito desktop.
- Il tipo di dispositivo macOS viene configurato per accedere ai contenuti dai dispositivi configurati con macOS.
Per gli ambienti locali, configurare anche il tipo di dispositivo macOS in modo che corrisponda ai dispositivi iPad in cui è abilitata l'opzione Richiedi sito desktop nelle impostazioni di Safari.
- (Solo cloud) Il tipo di dispositivo iPad viene configurato in una regola del criterio per accedere ai contenuti dai dispositivi iPad configurati con iPadOS. Questa regola consente di identificare un iPad indipendentemente dal fatto che nelle impostazioni di Safari sia abilitata o meno l'opzione Richiedi sito desktop.
Nota: Quando viene creata una regola del criterio di accesso per utilizzare il tipo di dispositivo iPad, la regola per i dispositivi iPad deve precedere la regola che utilizza il tipo di dispositivo iOS. In caso contrario, la regola per il tipo di dispositivo iOS verrà applicata ai dispositivi iPad che richiedono l'accesso. Ciò si verifica negli iPad con iPadOS o una versione precedente di iOS.
- Il tipo di dispositivo Android viene configurato per accedere ai contenuti dai dispositivi Android.
- (Solo cloud) Il tipo di dispositivo Sistema operativo Chrome viene configurato per accedere ai contenuti dai dispositivi che utilizzano il sistema operativo Chrome.
- (Solo cloud) Il tipo di dispositivo Linux viene configurato per accedere ai contenuti dai dispositivi che utilizzano il sistema operativo Linux.
- (Solo cloud) Il tipo di dispositivo Windows 10+ viene configurato per accedere ai contenuti dai dispositivi Windows 10 e Windows 11. Questa funzionalità è supportata su tutti i dispositivi Windows 11, inclusi desktop e dispositivi mobili.
- Il tipo di dispositivo Registrazione di Windows 10 è configurato per abilitare l'autenticazione quando gli utenti uniscono il proprio dispositivo ad Azure AD con l'esperienza out-of-the-box o dalle impostazioni di Windows.
- Il tipo di dispositivo Registrazione dispositivo viene configurato per richiedere la registrazione di quest'ultimo. Questa regola richiede che gli utenti vengano autenticati nel processo di registrazione di Workspace ONE UEM, semplificato dall'app Workspace ONE Intelligent Hub su un dispositivo iOS o Android.
L'ordine in cui le regole sono elencate nella pagina di configurazione dei criteri indica l'ordine in cui vengono applicate. Quando un tipo di dispositivo soddisfa il metodo di autenticazione, le regole successive vengono ignorate. Se la regola con tipo di dispositivo App su Workspace ONE Intelligent Hub non è la prima nell'elenco dei criteri, gli utenti non vengono connessi all'app Workspace ONE Intelligent Hub per il periodo di tempo esteso.
Aggiungere gruppi
È possibile applicare regole di autenticazione diverse in base all'appartenenza degli utenti ai gruppi. I gruppi possono essere gruppi sincronizzati dalla directory aziendale e gruppi locali creati nella console di Workspace ONE Access.
Quando si assegnano gruppi a una regola del criterio di accesso, agli utenti viene richiesto di immettere il proprio identificatore univoco e quindi di accedere alla procedura di autenticazione in base alla regola del criterio di accesso. Vedere l'argomento relativo all'esperienza di accesso mediante identificatore univoco nella guida all'amministrazione di Workspace ONE Access. Per impostazione predefinita, l'identificatore univoco è userName. Passare alla pagina Impostazioni > Configurazione > Preferenze di accesso per visualizzare il valore dell'identificatore univoco configurato o per modificare l'identificatore.
Azioni gestite da regole
È possibile configurare una regola del criterio di accesso per consentire o negare l'accesso all'area di lavoro e alle risorse. Quando un criterio è configurato per fornire l'accesso a determinate applicazioni, è inoltre possibile specificare l'azione per consentire l'accesso all'app senza che venga richiesta alcuna ulteriore autenticazione. Affinché questa azione venga applicata, l'autenticazione dell'utente deve essere già stata eseguita dal criterio di accesso predefinito.
Nella regola è possibile applicare in modo selettivo condizioni che si applicano all'azione per definire ad esempio quali reti, tipi di dispositivi e gruppi includere, nonché lo stato di registrazione e conformità del dispositivo. Quando l'azione nega l'accesso, gli utenti non possono accedere o avviare app dal tipo di dispositivo e dall'intervallo di rete configurati nella regola.
Metodi di autenticazione
I metodi di autenticazione configurati nel servizio Workspace ONE Access vengono applicati alle regole dei criteri di accesso. Per ogni regola, selezionare il tipo di metodo di autenticazione da utilizzare per verificare l'identità degli utenti che accedono all'app Workspace ONE Intelligent Hub oppure a un'app. È possibile selezionare più metodi di autenticazione in una regola.
I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati nella regola. Viene selezionata la prima istanza del fornitore di identità che soddisfa il metodo di autenticazione e l'intervallo di rete configurati nella regola. La richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione non riesce, viene selezionato il metodo di autenticazione successivo nell'elenco.
Nelle regole dei criteri di accesso è possibile configurare il concatenamento dell'autenticazione per richiedere agli utenti di immettere le credenziali attraverso più metodi di autenticazione prima di poter accedere. Vengono configurate due condizioni di autenticazione in una regola e l'utente deve rispondere correttamente a entrambe le richieste di autenticazione. Ad esempio, se si imposta l'autenticazione mediante password e Duo Security, gli utenti devono immettere la password e rispondere alla richiesta di Duo Security per eseguire l'autenticazione.
Quando sono necessarie più condizioni di autenticazione, è possibile configurare la regola in modo che includa metodi di autenticazione alternativi tra cui gli utenti possono scegliere. Ad esempio, se si sceglie Password come metodo di autenticazione primario e si specifica il token FIDO o Verify (Intelligent Hub) come secondo metodo di autenticazione facoltativo, gli utenti devono immettere la password e quindi selezionare il metodo di autenticazione preferito nelle opzioni della pagina di accesso.
Per fornire un'altra possibilità di accedere agli utenti che non riescono ad eseguire l'autenticazione mediante un determinato metodo, è possibile configurare l'autenticazione di fallback. Se un metodo di autenticazione non consente di eseguire l'autenticazione dell'utente e sono configurati anche i metodi di fallback, all'utente viene richiesto di immettere le credenziali per i metodi di autenticazione aggiuntivi configurati. I due scenari seguenti descrivono come funziona il fallback.
- Nel primo scenario, la regola del criterio di accesso viene configurata in modo da richiedere agli utenti di eseguire l'autenticazione con la password e Duo Security. L'autenticazione di fallback viene impostata per richiedere la password e le credenziali RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere la risposta di Duo Security corretta. Poiché l'utente ha immesso la password corretta, la richiesta di autenticazione di fallback si riferisce solo alle credenziali RADIUS. L'utente non deve immettere di nuovo la password.
- Nel secondo scenario, la regola del criterio di accesso viene configurata in modo da richiedere agli utenti di eseguire l'autenticazione con la password e la risposta di Duo Security. L'autenticazione di fallback è configurata in modo da richiedere le credenziali RSA SecurID e RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere la risposta di Duo Security corretta. La richiesta di autenticazione di fallback si riferisce sia alle credenziali RSA SecurID sia alle credenziali RADIUS per l'autenticazione.
Per configurare una regola dei criteri di accesso che richieda l'autenticazione e la verifica della conformità del dispositivo per i dispositivi gestiti da Workspace ONE UEM, è necessario abilitare l'opzione Conformità dispositivo (con Workspace ONE UEM) nella pagina del fornitore di identità integrato. Vedere Abilitazione del controllo di conformità per i dispositivi gestiti di Workspace ONE UEM in Workspace ONE Access. I metodi di autenticazione del fornitore di identità integrato che possono essere concatenati con l'opzione Conformità dispositivo (con Workspace ONE UEM) sono SSO mobile (per iOS), SSO mobile (per Android) e Certificato (distribuzione cloud).
Durata della sessione di autenticazione
Per ogni regola è possibile impostare periodo di validità dell'autenticazione espresso in numero di ore. Il valore di Nuova autenticazione dopo determina la quantità di tempo massima di cui gli utenti dispongono dopo l'ultimo evento di autenticazione per accedere al portale o aprire un'applicazione specifica. Ad esempio, il valore 8 nella regola di un'applicazione Web indica che dopo aver eseguito l'autenticazione, gli utenti non devono eseguirla nuovamente per 8 ore.
L'impostazione della regola del criterio Nuova autenticazione dopo non controlla le sessioni dell'applicazione. L'impostazione controlla il tempo trascorso il quale gli utenti devono eseguire nuovamente l'autenticazione.
Messaggio di errore di accesso negato personalizzato
Quando gli utenti tentano di accedere e non riescono a causa di credenziali non valide, configurazione non corretta o errore di sistema, viene visualizzato un messaggio di accesso negato. Il messaggio predefinito è Accesso negato in quanto non sono stati trovati metodi di autenticazione validi.
È possibile creare un messaggio di errore personalizzato che andrà a sostituire il messaggio predefinito per ogni regola dei criteri di accesso. Il messaggio personalizzato può includere testo e un collegamento per eseguire un'azione stabilita. Nella regola di un criterio per limitare l'accesso ai dispositivi registrati, è ad esempio possibile creare il seguente messaggio di errore personalizzato da visualizzare quando un utente tenta di accedere da un dispositivo non registrato. Registrare il dispositivo per accedere alle risorse dell'azienda facendo clic sul collegamento alla fine di questo messaggio. Se il dispositivo è già registrato, contattare il supporto tecnico per ricevere assistenza.