ユーザーがリソースに Workspace ONE アプリケーションからアクセスする際にシングル サインオンで行えるようにするため、デフォルトのアクセス ポリシーは、ご使用の環境、Android、iOS、Mac OS、または Windows 10 で使用されているデバイスの各タイプのルールで構成されます。デバイス タイプの Workspace ONE アプリケーションのルールも作成します。
この例にあるデフォルトのアクセス ポリシー構成では、すべてのネットワーク範囲からログインするユーザーをカバーするルールでデフォルトのアクセス ポリシーが作成されます。次のルールが作成されます。
- Workspace ONE アプリケーションにアクセスするために使用する各デバイスのルール。
- Workspace ONE アプリケーションのデバイス タイプからのユーザー アクセスのルール。ルールでは、各デバイスに構成されている各認証方法を含める必要があります。
- 任意の Web ブラウザから Workspace ONE にアクセスする Web ブラウザ デバイス タイプからのユーザー アクセスのルール。
デバイス タイプの Workspace ONE アプリケーションのルールは、Workspace ONE アプリケーションへのアクセスに使用可能なすべての認証方法で構成されます。まず 1 つの認証方法が割り当てられ、他の認証方法はフォールバック認証タイプとして構成されます。ユーザーが Workspace ONE アプリケーションにサインインするデバイスのいずれかを使用すると、そのデバイス タイプ用に構成されている認証方法に基づいて認証されます。ユーザーが正常に認証されたら、Workspace ONE アプリケーション画面から他のリソースを起動するときにもその認証方法を認識し、ユーザーに認証を求めるメッセージが再度表示されることはありません。Workspace ONE への認証に使用する認証方法が認識されない場合に Workspace ONE アプリケーションからリソースを起動すると、ユーザーは Workspace ONE アプリケーションのルールに基づいて認証を求められます。
ユーザー エクスペリエンスを最適なものにするため、デフォルトのアクセス ポリシーの 1 番目のルールとして Workspace ONE アプリケーションのデバイス タイプをリストします。ルールは、最初は、ユーザーはアプリケーションにログインしており、セッションの有効期限が切れるまでは再認証なしでリソースを起動できます。
1. Workspace ONE にアクセスするために使用する各デバイスのルールを作成します。この例は、デバイス タイプの iOS からのアクセスを許可するルールの場合です。
- ネットワーク範囲は、[ALL RANGES] です。
- ユーザーは [iOS] からコンテンツにアクセスできます。
- ポリシー ルールには、グループは追加されません。[すべてのユーザー] がサポートされます。
- サポートされているすべての認証方法を構成します。
- [モバイル SSO(iOS 版)] を使用してを認証します。
- フォールバック方法 1:[パスワード(クラウド デプロイ)]。
- フォールバック方法 2:[デバイス コンプライアンス (AirWatch)]。
- セッションの再認証は [8 時間] 後です。
2. デバイス タイプの Workspace ONE アプリケーションのルールを作成します。ルールでは、各デバイスに構成されている各認証方法を含める必要があります。
- ネットワーク範囲は、[ALL RANGES] です。
- ユーザーは、[Workspace ONE アプリケーション] からコンテンツにアクセスできます。
- ポリシー ルールには、グループは追加されません。[すべてのユーザー] がサポートされます。
- サポートされているすべての認証方法を構成します。
- [モバイル SSO(iOS 版)] を使用してを認証します。
- フォールバック方法 1:[モバイル SSO(Android 版)]。
- フォールバック方法 2:[パスワード(クラウド デプロイ)]。
- フォールバック方法 3:[デバイス コンプライアンス (AirWatch)]。
- セッションの再認証は [2160 時間] 後です。
2,160 時間は、Workspace ONE アプリケーションの OAuth トークン リフレッシュ トークンの有効期間 90 日と同じです。アクセス ポリシーへの Workspace ONE アプリケーション ルールの適用を参照してください。
3. 任意の Web ブラウザから Workspace ONE にアクセスするデバイス タイプの Web ブラウザのルールを作成します。この例には、認証方法パスワード(ローカル ディレクトリ)がフォールバックとして含まれます。ログインする認証システム管理者に対しては、パスワード(ローカル ディレクトリ)を使用する認証に少なくとも 1 つのルールが構成されている必要があります。セッションは 24 時間後にタイムアウトします。
- ネットワーク範囲は、[ALL RANGES] です。
- ユーザーは、[Web ブラウザ] からコンテンツにアクセスできます。
- ポリシー ルールには、グループは追加されません。[すべてのユーザー] がサポートされます。
- サポートされているすべての認証方法を構成します。
- [パスワード(クラウド デプロイ)] を使用して認証します。
- フォールバック方法 2:[パスワード]。
- フォールバック方法 3:[パスワード(ローカル ディレクトリ)]。
- セッションの再認証は [8 時間] 後です。
すべてのデバイス、Workspace ONE アプリケーションおよび Web ブラウザのルールを作成する際、デフォルトのポリシー セットは次のスクリーンショットのようになります。
このデフォルトのアクセス ポリシーでフローが構成されます。
- ユーザー A が iOS デバイスから Workspace ONE アプリケーションにログインすると、モバイル SSO(iOS 版)の認証を求められます。認証に成功しました。
- ユーザー A が Workspace ONE アプリケーションにリストされているリソースを起動すると、再度認証を要求されずにリソースが起動されます。Workspace ONE App ルールには認証方法モバイル SSO(iOS 版)がフォールバック認証方法として含まれているためです。ユーザーは Workspace ONE に再度ログインしなくてもリソースを 2160 時間起動できます。