Per implementare l'esperienza Single Sign-On quando gli utenti accedono alle risorse dall'app Workspace ONE, è possibile configurare il criterio di accesso predefinito con regole per ogni tipo di dispositivo utilizzato nell'ambiente, ovvero Android, iOS, MacOS e Windows 10.

19.11In questo esempio di configurazione di criterio di accesso predefinito, il criterio di accesso predefinito viene creato con regole che riguardano gli utenti che accedono da tutti gli intervalli di rete. Per l'accesso gestito, la conformità del dispositivo per AirWatch è configurata per i dispositivi e le regole dell'app Workspace ONE. Vengono create le seguenti regole.

  • Una regola per ogni dispositivo mobile che può essere utilizzato per accedere all'app Intelligent Hub.
  • Una regola per l'accesso degli utenti dal tipo di dispositivo dell'app Workspace ONE per l'app Intelligent Hub. Tutti i metodi di autenticazione per tutti i dispositivi supportati sono configurati in questa regola. Il metodo di autenticazione della conformità del dispositivo viene applicato per supportare l'accesso dai dispositivi gestiti.
  • Una regola per l'accesso degli utenti dal tipo di dispositivo Browser Web per accedere a Workspace ONE da qualsiasi browser Web.
  • Una regola per gli utenti dei dispositivi non gestiti per l'accesso alle risorse.

Se si utilizza uno dei dispositivi per accedere all'app Workspace ONE, tale dispositivo viene autenticato in base al metodo di autenticazione configurato per il tipo di dispositivo. Dopo che l'utente ha eseguito correttamente l'autenticazione, quando avvia altre risorse dalla schermata dell'app Intelligent Hub, tale metodo di autenticazione viene riconosciuto e all'utente non viene richiesto di eseguire nuovamente l'autenticazione.

Se il metodo utilizzato per eseguire l'autenticazione in Workspace ONE non viene riconosciuto, quando un utente avvia risorse dall'app Intelligent Hub, gli viene chiesto di eseguire l'autenticazione in base alla regola dell'app Workspace ONE.

Esempio di condizioni per la regola dei criteri di accesso da utilizzare per Workspace ONE

Per garantire la migliore esperienza utente, elencare il tipo di dispositivo App Workspace ONE della prima regola nel criterio di accesso predefinito. Quando questa la regola è la prima nell'elenco, gli utenti hanno accesso all'applicazione e possono avviare le risorse senza riautenticazione fino a quando la sessione non scade.

1. Creare regole per ogni dispositivo che può essere utilizzato per accedere a Workspace ONE. Questo esempio illustra la regola per consentire l'accesso dal tipo dispositivo iOS.

  • L'intervallo di rete è TUTTI GLI INTERVALLI.
  • Gli utenti possono accedere al contenuto da iOS.
  • Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
  • Configurare tutti i metodi di autenticazione supportati.
    • Eseguire l'autenticazione utilizzando SSO mobile (per iOS) e Conformità dispositivo (con AirWatch).
    • Metodo di fallback 1: Password (distribuzione cloud).
  • La riautenticazione della sessione deve essere eseguita dopo 8 ore.

2. Creare la regola per il tipo di dispositivo App Workspace ONE. Ogni metodo di autenticazione configurato per i dispositivi nel passaggio 1 deve essere incluso nella regola.

  • L'intervallo di rete è TUTTI GLI INTERVALLI.
  • Gli utenti possono accedere al contenuto dall'App Workspace ONE.
  • Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
  • Configurare tutti i metodi di autenticazione supportati.
    • Eseguire l'autenticazione utilizzando SSO mobile (per iOS) e Conformità dispositivo (con AirWatch).
    • Metodo di fallback 1: SSO mobile (per Android) e Conformità dispositivo (con AirWatch).
    • Metodo di fallback 2: Password (distribuzione cloud).
  • La riautenticazione della sessione deve essere eseguita dopo 2.160 ore.

2.160 ore è pari a 90 giorni, che è la durata del token di aggiornamento del token Oauth dell'app Workspace ONE.

3. Creare una regola per l'accesso del tipo di dispositivo Browser Web al portale di Workspace ONE da qualsiasi browser Web. In questo esempio è incluso come fallback il metodo di autenticazione Password (Directory locale). Per l'autenticazione degli amministratori di sistema che accedono, deve essere configurata almeno una regola per l'autenticazione tramite Password (Directory locale). Il timeout della sessione avviene dopo 24 ore.

  • L'intervallo di rete è TUTTI GLI INTERVALLI.
  • Gli utenti possono accedere al contenuto da Browser Web.
  • Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
  • Configurare tutti i metodi di autenticazione supportati.
    • Eseguire l'autenticazione mediante Password (distribuzione cloud).
    • Metodo di fallback 2: Password.
    • Metodo di fallback 3: Password (Directory locale).
  • La riautenticazione della sessione deve essere eseguita dopo 8 ore.

4. Creare una regola per l'accesso di tutti i tipi di dispositivo alle risorse non gestite.

  • L'intervallo di rete è TUTTI GLI INTERVALLI.
  • Gli utenti possono accedere al contenuto da Tutti i dispositivi.
  • Nessun gruppo viene aggiunto alla regola del criterio. Tutti gli utenti sono supportati.
  • Configurare tutti i metodi di autenticazione supportati.
    • Eseguire l'autenticazione mediante Password (distribuzione cloud).
  • La riautenticazione della sessione deve essere eseguita dopo 8 ore.

Quando si creano regole per tutti i dispositivi, App Workspace ONE e Browser Web, il set di criteri predefinito ha l'aspetto riprodotto nella schermata che segue.

Figura 1. Set di criteri predefinito con App Workspace ONE prima nell'elenco

Flusso con questo criterio di accesso predefinito configurato.

  1. L'utente accede all'app Intelligent Hub dal proprio dispositivo iOS e gli viene chiesto di eseguire l'autenticazione con SSO mobile (per iOS). La terza regola è SSO mobile (per iOS) e l'autenticazione viene eseguita correttamente.
  2. L'utente avvia una risorsa elencata nell'app Workspace ONE e, poiché la regola di App Workspace ONE include SSO mobile (per iOS) come metodo di autenticazione di fallback, la risorsa viene avviata senza che venga nuovamente richiesta l'autenticazione. L'utente può avviare le risorse senza dover nuovamente accedere a Workspace ONE per 2.160 ore.

Vedere anche l'argomento relativo alla configurazione della regola del criterio di accesso per il controllo di conformità.