Al fine di garantire un accesso sicuro alle applicazioni SaaS, è necessario configurare i criteri di accesso. I criteri di accesso includono regole che specificano i criteri da rispettare per accedere al portale Workspace ONE e utilizzare le applicazioni.

Per informazioni dettagliate sui criteri di accesso nel sistema Workspace ONE UEM, vedere Workspace ONE Access e cercare Gestione dei criteri di accesso.

Flessibilità dei criteri di accesso

I criteri di accesso consentono di applicare controlli meno severi all'interno della rete e limitare l'accesso all'esterno della rete. Ad esempio, è possibile configurare un criterio di accesso con le regole seguenti.

  • Consentire l'accesso a un intervallo di rete con Single Sign-On all'interno della rete aziendale.
  • Configurare lo stesso criterio per richiedere l'autenticazione multifattore (MFA, Multi-Factor Authentication) all'esterno della rete aziendale.
  • Configurare il criterio in modo da consentire l'accesso a uno specifico gruppo di utenti con un tipo di proprietà specifico del dispositivo. Il criterio può bloccare l'accesso agli altri utenti non inclusi nel gruppo.

Criteri di accesso predefiniti e criteri di accesso specifici delle applicazioni

Criterio di accesso predefinito. Il servizio Workspace ONE Access e la Workspace ONE UEM Console includono un criterio predefinito che controlla l'accesso alle applicazioni SaaS in generale. Tale criterio consente l'accesso a tutti gli intervalli di rete, da tutti i tipi di dispositivo, per tutti gli utenti. I criteri di accesso predefiniti possono essere modificati ma non eliminati.

Importante: le modifiche ai criteri di accesso predefiniti vengono applicate a tutte le applicazioni e possono influire sulla capacità di tutti gli utenti di accedere a Workspace ONE.

Aggiungere intervalli di rete per i criteri di accesso

Definire gli intervalli di rete con gli indirizzi IP dai quali l'utente è autorizzato ad accedere alle applicazioni SaaS. Assegnare tali intervalli quando si applicano regole di accesso alle applicazioni SaaS. È necessario definire gli intervalli di rete per la distribuzione di Workspace ONE Access e di Workspace ONE UEM. Per informazioni sulla topologia della rete, è in genere possibile rivolgersi al reparto aziendale responsabile della rete.
  1. Selezionare Risorse > App > Criteri di accesso > Intervalli di rete.
  2. Selezionare un nome e modificare l'intervallo oppure selezionare Aggiungi intervallo di rete.
  3. Completare le opzioni per la definizione degli intervalli.
    Impostazione Descrizione
    Nome Immettere un nome per l'intervallo di rete.
    Descrizione Immettere una descrizione per l'intervallo di rete.
    Intervalli IP Specificare gli indirizzi IP che includono i dispositivi applicabili nell'intervallo.
    Aggiungi riga Definire più intervalli.

Configurare criteri di accesso specifici delle applicazioni

È possibile aggiungere criteri di accesso specifici delle applicazioni per controllare l'accesso degli utenti alle applicazioni SaaS.

  1. Selezionare Risorse > App > Criteri di accesso > Aggiungi criterio.
  2. Completare le opzioni nella scheda Definizione
    Impostazione Descrizione
    Nome criterio Immettere un nome per il criterio.

    I nomi consentiti per i criteri includono i parametri elencati.

    • Devono iniziare con una lettera, maiuscola o minuscola, dalla a alla Z.
    • Devono includere altre lettere, maiuscole o minuscole, dalla a alla Z.
    • È possibile includere trattini.
    • È possibile includere numeri.
    Descrizione (Facoltativo) Fornire una descrizione del criterio.
    Si applica a Selezionare le applicazioni SaaS a cui si desidera assegnare il criterio.
  3. Completare le opzioni nella scheda Configurazione e selezionare Aggiungi regola criterio o modificare un criterio esistente.
    Impostazione Descrizione
    Se l'intervallo di rete di un utente è Selezionare un intervallo di rete configurato precedentemente nel processo per gli intervalli di rete.
    E l'utente accede al contenuto da Selezionare i tipi di dispositivi autorizzati ad accedere al contenuto, in base alle regole specificate nel criterio.
    e l'utente appartiene ai gruppi Selezionare i gruppi di utenti autorizzati ad accedere al contenuto, in base alle regole specificate nel criterio.

    Se non si seleziona alcun gruppo, il criterio si applica a tutti gli utenti.

    Quindi eseguire questa azione Consentire l'autenticazione, negare l'autenticazione o consentire l'accesso senza autenticazione.
    allora l'utente potrebbe eseguire l'autenticazione tramite Selezionare il metodo di autenticazione iniziale per l'accesso al contenuto.
    Se il metodo precedente non riesce o non è applicabile, allora Selezionare un metodo di fallback per l'autenticazione di accesso al contenuto qualora il metodo iniziale non riesca.
    Aggiungi metodo di fallback Aggiungere un altro metodo di autenticazione.

    Il sistema elabora i metodi dall'altro verso il basso, quindi aggiungerli nell'ordine in cui si desidera che vengano applicati dal sistema.

    Autentica nuovamente dopo Selezionare la durata consentita per la sessione di accesso prima che l'utente debba ripetere l'autenticazione per accedere al contenuto.
    Impostazione - Proprietà avanzate Descrizione - Proprietà avanzate
    Messaggio di errore personalizzato Immettere un messaggio di "accesso negato" personalizzato, che il sistema deve visualizzare quando l'utente non supera l'autenticazione.
    Testo collegamento errore personalizzato Immettere il testo del collegamento che permette all'utente di uscire dalla pagina dell'errore di "accesso negato" quando l'autenticazione non riesce.
    URL collegamento errore personalizzato Immettere l'URL che permette all'utente di uscire dalla pagina dell'errore di autenticazione.
  4. Visualizzare il Riepilogo per il criterio di accesso specifico dell'applicazione.

SSO tra Workspace ONE UEM e Workspace ONE Access per le app SaaS e i criteri di accesso

La Workspace ONE UEM Console e Workspace ONE Access utilizzano un flusso di lavoro di codici di autorizzazione che consente di accedere a Workspace ONE Access console mediante la Workspace ONE UEM Console e che permette agli amministratori di lavorare sulle configurazioni delle applicazioni SaaS. Il workflow è specifico per le applicazioni SaaS e i criteri di accesso in Workspace ONE UEM. Le aggiunte e le modifiche apportate in Workspace ONE UEM vengono riflesse in Workspace ONE UEM.

Registrare il client OAuth durante l'installazione

Quando si configura Workspace ONE Access nella Workspace ONE UEM Console, si registra il client OAuth nell'ambito dell'installazione guidata. La registrazione del client OAuth costituisce un prerequisito per poter utilizzare questa funzionalità SSO.

Flusso di lavoro

Workspace ONE Access e Workspace ONE UEM funzionano in back-end per autenticare l'amministratore Workspace ONE UEM in Workspace ONE Access. Workspace ONE Access console trasmette un token ID a Workspace ONE UEM. Questo token contiene informazioni sull'amministratore e sull'autenticazione, in modo che l'amministratore possa accedere a entrambe le console. Le due console seguono il processo delineato.

Flusso di lavoro che rappresenta la comunicazione SSO tra Workspace ONE UEM e Workspace ONE UEM