È possibile creare regole dei criteri di accesso che specifichino i criteri che devono essere soddisfatti per accedere al portale Workspace ONE e alle applicazioni autorizzate nel loro insieme. È inoltre possibile creare criteri di accesso specifici delle applicazioni con regole per gestire l'accesso degli utenti a determinate applicazioni Web e desktop.

Intervallo di rete

Alla regola dei criteri di accesso vengono assegnati indirizzi di rete per gestire l'accesso degli utenti in base all'indirizzo IP utilizzato per accedere alle app. Quando il servizio Workspace ONE Access è configurato in locale, è possibile configurare intervalli di indirizzi IP di rete per l'accesso alla rete interna e alla rete esterna. È quindi possibile creare regole diverse in base all'intervallo di rete configurato nella regola.

Nota: Quando si configurano indirizzi di rete per il servizio Workspace ONE Access Cloud, specificare l'indirizzo pubblico del tenant di Workspace ONE Access utilizzato per accedere alla rete interna.

Gli intervalli di rete vengono configurati dalla pagina Gestione > Criteri > Intervalli di rete della scheda Gestione identità e accessi prima di configurare le regole dei criteri di accesso.

Ogni istanza del fornitore di identità nella distribuzione viene configurata per collegare gli intervalli di rete ai metodi di autenticazione. Quando si configura una regola dei criteri, verificare che l'intervallo di rete selezionato sia coperto da un'istanza del fornitore di identità esistente.

Tipo di dispositivo

Le regole dei criteri di accesso vengono configurate per gestire il tipo di dispositivo utilizzato per accedere al portale e alle risorse. I dispositivi che è possibile specificare includono i dispositivi mobili iOS e Android, i computer con sistema operativo Windows 10 o macOS, browser Web, l'app Workspace ONE & Intelligent Hub o tutti i tipi di dispositivi.

La regola dei criteri con tipo di dispositivo App Workspace ONE & Intelligent Hub definisce i criteri di accesso per l'avvio delle applicazioni dall'app Workspace ONE o Intelligent Hub dopo l'accesso da un dispositivo. Quando questa regola è la prima regola nell'elenco dei criteri, dopo l'autenticazione gli utenti possono rimanere connessi all'app e accedere alle risorse per un periodo che può arrivare fino a 90 giorni in base all'impostazione predefinita.

La regola dei criteri con tipo di dispositivo Browser Web definisce un criterio di accesso utilizzando un tipo qualsiasi di browser Web, indipendentemente dal tipo di hardware e dal sistema operativo del dispositivo.

La regola dei criteri con tipo di dispositivo Tutti i tipi di dispositivi soddisfa tutti i casi di accesso.

Quando l'app Workspace ONE o Intelligent Hub viene utilizzata per accedere alle app, i tipi di dispositivi vengono organizzati nel criterio impostato con la prima regola del tipo di dispositivo dell'app Workspace ONE, seguita dai tipi di dispositivi browser Web mobili, Windows e macOS. La voce Tutti i tipi di dispositivi è elencata per ultima. L'ordine in cui le regole sono elencate indica l'ordine in cui vengono applicate. Quando un tipo di dispositivo soddisfa il metodo di autenticazione, le regole successive vengono ignorate. Se la regola con tipo di dispositivo App Workspace ONE non è la prima nell'elenco dei criteri, gli utenti non possono rimanere connessi all'app Workspace ONE per il periodo di tempo esteso. Vedere Applicazione delle regole dell'app Workspace ONE ai criteri di accesso.

Aggiungere gruppi

È possibile applicare regole di autenticazione diverse in base all'appartenenza degli utenti ai gruppi. I gruppi possono essere gruppi sincronizzati dalla directory aziendale e gruppi locali creati nella console di Workspace ONE Access.

Quando si assegnano gruppi a una regola dei criteri di accesso, agli utenti viene richiesto di immettere il proprio identificatore univoco e quindi di accedere alla procedura di autenticazione in base alla regola dei criteri di accesso. Vedere Esperienza di accesso mediante identificatore univoco. Per impostazione predefinita, l'identificatore univoco è userName. Passare alla pagina Gestione identità e accessi > Configurazione > Preferenze per visualizzare il valore dell'identificatore univoco configurato o per modificare l'identificatore.

Nota: Quando un gruppo non viene identificato in una regola, la regola viene applicata a tutti gli utenti. Quando si configura un criterio di accesso che include una regola con un gruppo e una regola senza gruppo, la regole configurate con un gruppo devono essere elencate prima delle regole configurate senza gruppo.

Azioni gestite da regole

È possibile configurare una regola dei criteri di accesso per consentire o negare l'accesso all'area di lavoro e alle risorse. Quando un criterio è configurato per fornire l'accesso a determinate applicazioni, è inoltre possibile specificare l'azione per consentire l'accesso all'app senza che venga richiesta alcuna ulteriore autenticazione. Affinché questa azione venga applicata, l'autenticazione dell'utente deve essere già stata eseguita dal criterio di accesso predefinito.

Nella regola è possibile applicare in modo selettivo condizioni che si applicano all'azione per definire ad esempio quali reti, tipi di dispositivi e gruppi includere, nonché lo stato di registrazione e conformità del dispositivo. Quando l'azione nega l'accesso, gli utenti non possono accedere o avviare app dal tipo di dispositivo e dall'intervallo di rete configurati nella regola.

Metodi di autenticazione

I metodi di autenticazione configurati nel servizio Workspace ONE Access vengono applicati alle regole dei criteri di accesso. Per ogni regola, selezionare il tipo di metodo di autenticazione da utilizzare per verificare l'identità degli utenti che accedono a Workspace ONE oppure a un'app. È possibile selezionare più metodi di autenticazione in una regola.

I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati nella regola. Viene selezionata la prima istanza del fornitore di identità che soddisfa il metodo di autenticazione e l'intervallo di rete configurati nella regola. La richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione non riesce, viene selezionato il metodo di autenticazione successivo nell'elenco.

Nelle regole dei criteri di accesso è possibile configurare il concatenamento dell'autenticazione per richiedere agli utenti di immettere le credenziali attraverso più metodi di autenticazione prima di poter accedere. Vengono configurate due condizioni di autenticazione in una regola e l'utente deve rispondere correttamente a entrambe le richieste di autenticazione. Ad esempio, se si imposta l'autenticazione mediante password e Workspace ONE Verify, gli utenti devono immettere la password e il passcode di Workspace ONE Verify per consentire l'autenticazione.

Per fornire un'altra possibilità di accedere agli utenti che non riescono ad eseguire l'autenticazione mediante un determinato metodo, è possibile configurare l'autenticazione di fallback. Se un metodo di autenticazione non consente di eseguire l'autenticazione dell'utente e sono configurati anche i metodi di fallback, all'utente viene richiesto di immettere le credenziali per i metodi di autenticazione aggiuntivi configurati. I due scenari seguenti descrivono come funziona il fallback.

  • Nel primo scenario, la regola dei criteri di accesso viene configurata in modo da richiedere agli utenti di eseguire l'autenticazione con la password e il passcode di Workspace ONE Verify. L'autenticazione di fallback viene impostata per richiedere la password e le credenziali RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere il passcode di Workspace ONE Verify corretto. Poiché l'utente ha immesso la password corretta, la richiesta di autenticazione di fallback si riferisce solo alle credenziali RADIUS. L'utente non deve immettere di nuovo la password.
  • Nel secondo scenario, la regola dei criteri di accesso viene configurata in modo da richiedere agli utenti di eseguire l'autenticazione con la password e il passcode di Workspace ONE Verify. L'autenticazione di fallback è configurata in modo da richiedere le credenziali RSA SecurID e RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere il passcode di Workspace ONE Verify corretto. La richiesta di autenticazione di fallback si riferisce sia alle credenziali RSA SecurID sia alle credenziali RADIUS per l'autenticazione.

Per configurare una regola dei criteri di accesso che richieda l'autenticazione e la verifica della conformità del dispositivo per i dispositivi gestiti da Workspace ONE UEM, è necessario abilitare l'opzione Conformità dispositivo (con AirWatch) nella pagina del fornitore di identità integrato. Vedere Abilitazione del controllo di conformità per i dispositivi gestiti di Workspace ONE UEM. I metodi di autenticazione del fornitore di identità integrato che possono essere concatenati con l'opzione Conformità dispositivo (con AirWatch) sono SSO mobile (per iOS), SSO mobile (per Android) e Certificato (distribuzione cloud).

Quando Workspace ONE Verify viene utilizzato per l'autenticazione a due fattori, Workspace ONE Verify è il secondo metodo di autenticazione nella catena di autenticazioni. Workspace ONE Verify deve essere abilitato nella pagina del provider di identità integrato. Vedere Configurazione di VMware Workspace ONE Verify per l'autenticazione a due fattori.

Durata della sessione di autenticazione

Per ogni regola è possibile impostare periodo di validità dell'autenticazione espresso in numero di ore. Il valore di Nuova autenticazione dopo determina la quantità di tempo massima di cui gli utenti dispongono dopo l'ultimo evento di autenticazione per accedere al portale o aprire un'applicazione specifica. Ad esempio, il valore 8 nella regola di un'applicazione Web indica che dopo aver eseguito l'autenticazione, gli utenti non devono eseguirla nuovamente per 8 ore.

L'impostazione della regola dei criteri Nuova autenticazione dopo non controlla le sessioni dell'applicazione. L'impostazione controlla il tempo trascorso il quale gli utenti devono eseguire nuovamente l'autenticazione.

Messaggio di errore di accesso negato personalizzato

Quando gli utenti tentano di accedere e non riescono a causa di credenziali non valide, configurazione non corretta o errore di sistema, viene visualizzato un messaggio di accesso negato. Il messaggio predefinito è Accesso negato in quanto non sono stati trovati metodi di autenticazione validi.

È possibile creare un messaggio di errore personalizzato che andrà a sostituire il messaggio predefinito per ogni regola dei criteri di accesso. Il messaggio personalizzato può includere testo e un collegamento per eseguire un'azione stabilita. Nella regola di un criterio per limitare l'accesso ai dispositivi registrati, è ad esempio possibile creare il seguente messaggio di errore personalizzato da visualizzare quando un utente tenta di accedere da un dispositivo non registrato. Registrare il dispositivo per accedere alle risorse dell'azienda facendo clic sul collegamento alla fine di questo messaggio. Se il dispositivo è già registrato, contattare il supporto tecnico per ricevere assistenza.