Il servizio Workspace ONE Access include un set di criteri di accesso predefinito che controlla l'accesso degli utenti alle applicazioni Web e al portale utente.
Il criterio di accesso predefinito è configurato per consentire l'accesso a tutti gli intervalli di rete da tutti i tipi di dispositivi. Il timeout della sessione è di otto ore. È possibile modificare il set di criteri di accesso per cambiarne le regole in base alle necessità.
Quando si abilitano metodi di autenticazione diversi dall'autenticazione con password nel servizio Workspace ONE Access, è necessario modificare il criterio predefinito per aggiungere tali metodi di autenticazione nelle regole del criterio.
Le regole di accesso possono essere create nel criterio di accesso predefinito per gestire l'accesso Single Sign-On mobile dai dispositivi iOS, Android, macOS e Windows 10.
Quando gli utenti tentano di accedere, il servizio Workspace ONE Access valuta le regole del criterio di accesso predefinito per selezionare quella da applicare. I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati nella regola. Viene selezionata la prima istanza del provider di identità che soddisfa i requisiti del metodo di autenticazione e dell'intervallo di rete della regola. La richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione ha esito negativo viene applicato il successivo metodo di autenticazione configurato nella regola.
Il numero di tentativi fatti dal servizio per completare l'accesso di un utente con un dato metodo di autenticazione varia. Il servizio fa un unico tentativo nelle autenticazioni con Kerberos o con certificato. Se il tentativo di accesso di un utente non ha esito positivo, viene provato il metodo di autenticazione successivo nella regola. Per impostazione predefinita, il numero massimo di tentativi di accesso non riusciti per l'autenticazione con password di Active Directory e RSA SecurID è impostato su cinque. Dopo che un utente ha eseguito cinque tentativi di accesso non riusciti, il servizio tenta di farlo accedere con il metodo di autenticazione successivo nell'elenco. Quando vengono esauriti tutti i metodi di autenticazione, il servizio genera un messaggio di errore.