Maak toegangsbeleidsregels die de criteria omschrijven waaraan moet worden voldaan om toegang te hebben tot de portal van Workspace ONE en het geheel van applicaties waarvoor rechten zijn verleend. U kunt een applicatiespecifiek toegangsbeleid maken, met regels om de toegang van gebruikers tot specifieke web- en desktopapplicaties te beheren.

Netwerkbereik

Netwerkadressen worden toegewezen aan de toegangsbeleidsregel die gebruikerstoegang beheert op basis van het IP-adres dat wordt gebruikt om zich aan te melden en toegang te verkrijgen tot applicaties. Wanneer de VMware Identity Manager-service op locatie wordt geconfigureerd, kunt u netwerk-IP-adresbereiken voor interne en externe netwerktoegang configureren. Vervolgens kunt u verschillende regels opstellen op basis van het netwerkbereik dat is geconfigureerd in de regel.

Opmerking:

Specificeer het openbare adres van de VMware Identity Manager-tenant gebruikt voor toegang tot het interne netwerk, wanneer u netwerkadressen voor de VMware Identity Manager-cloudservice configureert.

Netwerkbereiken worden geconfigureerd op het tabblad Identiteit & toegangsbeheer, Beheren > Beleid > pagina Netwerkbereiken, voordat u toegangsbeleidsregels configureert.

Elke identiteitsproviderinstantie in uw implementatie is geconfigureerd om netwerkbereiken aan verificatiemethoden te koppelen. Wanneer u een beleidsregel configureert, zorgt u ervoor dat het netwerkbereik wordt gedekt door een bestaande identiteitsproviderinstantie.

Apparaattype

Toegangsbeleidsregels worden geconfigureerd om het type apparaat te beheren dat wordt gebruikt voor toegang tot portal en resources. Toestellen die u kunt opgeven zijn mobiele apparaten met iOS en Android, computers met Windows 10- of macOS-besturingssystemen, Web Browser, Workspace ONE-app en Alle apparaattypen.

De beleidsregel met apparaattype Workspace ONE-app definieert het toegangsbeleid voor het starten van applicaties vanuit de Workspace ONE-app nadat u zich heeft aangemeld vanaf een toestel. Wanneer dit de eerste regel in de beleidslijst is, kunnen gebruikers na verificatie aangemeld blijven bij de Workspace ONE-app en op basis van de standaardinstelling tot 90 dagen toegang krijgen tot hun resources.

De beleidsregel met het apparaattype Web Browser definieert een beleid voor toegang via alle soorten webbrowsers, ongeacht het hardwaretype van het toestel en het beheersysteem.

De beleidsregel met apparaattype Alle apparaattypen is van toepassing op alle soorten toegang.

Wanneer de Workspace ONE-app wordt gebruikt voor toegang tot applicaties, worden de apparaattypen als volgt georganiseerd in de beleidsset: Workspace ONE-app is de eerste regel, gevolgd door de apparaattypen mobiel, Windows en macOS, Web Browser en Alle apparaattypen als laatste. De volgorde waarin die de regels worden weergegeven, geeft aan in welke volgorde de regels worden toegepast. Wanneer een apparaattype overeenkomt met de verificatiemethode, worden de volgende regels genegeerd. Als de regel voor de Workspace ONE-app niet de eerste is in de beleidslijst, zijn gebruikers niet aangemeld bij de applicatie Workspace ONE voor de uitgebreide tijd. Zie Regels voor applicatie Workspace ONE toepassen op toegangsbeleid.

Groepen toevoegen

U kunt verschillende beleidsregels voor verificatie toepassen op basis van het groepslidmaatschap van een gebruiker. Groepen kunnen groepen zijn die worden gesynchroniseerd vanuit uw bedrijfsdirectory en lokale groepen die u heeft gemaakt in de VMware Identity Manager-console.

Wanneer groepen worden toegewezen aan een toegangsbeleidsregel, worden gebruikers gevraagd hun unieke id in te voeren, en vervolgens om de verificatie op basis van de toegangsbeleidsregel uit te voeren. Zie Aanmeldervaring met unieke ID. Standaard is de unieke id gebruikersnaam. Ga naar de pagina Identiteits- en toegangsbeheer > Instellen > Voorkeuren om de geconfigureerde unieke id-waarde te raadplegen of te wijzigen.

Opmerking:

Wanneer een groep in een regel niet wordt geïdentificeerd, is de regel van toepassing op alle gebruikers. Wanneer u een toegangsbeleid configureert waarin een regel met groep en een regel zonder groep voorkomt, moeten regels geconfigureerd met groep worden weergegeven voor regels geconfigureerd zonder groep.

Acties beheerd door regels

Een toegangsbeleidsregel kan worden geconfigureerd om toegang tot workspace en resources toe te staan of te weigeren. Wanneer een beleid is geconfigureerd voor toegang tot specifieke applicaties, kunt u ook de actie specificeren die nodig is om toegang te verlenen tot de applicatie zonder dat verdere verificatie is vereist. Deze actie wordt toegepast als de gebruiker reeds werd geverifieerd door het standaardtoegangsbeleid.

U kunt selectief voorwaarden stellen in de regel met betrekking tot de actie, zoals welke netwerken, apparaattypen en groepen mee worden opgenomen, en de status van het apparaat wat betreft inschrijvingen en conformiteit. Wanneer de actie is om toegang te weigeren, kunnen gebruikers zich niet aanmelden of geen applicaties starten vanaf het apparaattype en het netwerkbereik die werden geconfigureerd in de regel.

Verificatiemethoden

De verificatiemethoden die zijn geconfigureerd in de VMware Identity Manager-service worden toegepast op toegangsbeleidsregels. Voor elke regel selecteert u het type verificatiemethode waarmee de identiteit van gebruikers die zich aanmelden bij Workspace ONE of een applicatie openen, dient te worden gecontroleerd. U kunt in een regel meer dan één verificatiemethode selecteren.

De verificatiemethoden worden toegepast in de volgorde waarin ze in de regel worden weergegeven. De eerste identiteitsproviderinstantie die voldoet aan de configuratie in de regel van de verificatiemethode en het netwerkbereik, wordt geselecteerd. De aanvraag voor gebruikersverificatie wordt voor verificatie doorgestuurd naar de identiteitsproviderinstantie. Als de verificatie mislukt, wordt de volgende verificatiemethode in de lijst geselecteerd.

In toegangsbeleidsregels kunt u verificatiemethoden koppelen zodat gebruikers hun gegevens door meerdere verificatiemethoden dienen te laten controleren vooraleer zij zich kunnen aanmelden. Twee voorwaarden voor verificatie zijn in één regel geconfigureerd en de gebruiker moet correct reageren op beide verificatie-aanvragen. Bijvoorbeeld: als u instelt dat verificatie gebeurt door middel van het wachtwoord en VMware Verify, moeten gebruikers zowel hun wachtwoord als de VMware Verify-wachtwoordcode invoeren voordat ze worden geverifieerd.

Alternatieve verificatie kan worden ingesteld zodat gebruikers waarvoor de eerste verificatie mislukt, nog een tweede kans hebben om zich aan te melden. Als een verificatiemethode mislukt en er ook alternatieve methoden zijn geconfigureerd, dan worden de gebruikers gevraagd om hun verificatiegegevens in te voeren voor de alternatieve verificatiemethoden die zijn geconfigureerd. De volgende twee scenario's beschrijven hoe deze alternatieven kunnen werken.

  • In het eerste scenario is de toegangsbeleidsregel zo geconfigureerd dat gebruikers verificatie moeten uitvoeren met hun wachtwoord en hun VMware Verify-wachtwoordcode. Alternatieve verificatie is ingesteld om verificatie uit te voeren met het wachtwoord en de RADIUS-verificatiegegevens. Een gebruiker voert het correcte wachtwoord in, maar niet de juiste VMware Verify-wachtwoordcode. Omdat de gebruiker het juiste wachtwoord heeft ingevoerd, geldt de alternatieve verificatieaanvraag alleen voor de RADIUS-verificatiegegevens. De gebruiker hoeft het wachtwoord niet opnieuw in te voeren.

  • In het tweede scenario is de toegangsbeleidsregel zo geconfigureerd dat gebruikers verificatie moeten uitvoeren met hun wachtwoord en hun VMware Verify-wachtwoordcode. Alternatieve verificatie is ingesteld om verificatie uit te voeren met RSA SecurID en RADIUS. Een gebruiker voert het correcte wachtwoord in, maar niet de juiste VMware Verify-wachtwoordcode. De alternatieve verificatieaanvraag geldt zowel voor de RSA SecurID-verificatiegegevens als voor de RADIUS-verificatiegegevens.

Om een toegangsbeleidrsegel te configureren waarvoor verificatie en controle van de compliance van het Workspace ONE UEM-apparaat zijn vereist, moet Compliance van apparaat met AirWatch zijn ingeschakeld op de ingebouwde pagina van de identiteitsprovider. Zie Compliancecontrole voor met Workspace ONE UEM beheerde apparaten inschakelen. De ingebouwde verificatiemethoden van de identiteitsprovider die via AirWatch met Compliance van apparaat kunnen worden gekoppeld zijn Mobiele SSO (voor iOS), Mobiele SSO (voor Android) of Certificaat (Cloudimplementatie).

Wanneer VMware Verify voor tweeledige verificatie wordt gebruikt, is VMware Verify de tweede verificatiemethode in de verificatieketen. VMware Verify moet zijn ingeschakeld in de ingebouwde pagina van de identiteitsprovider. Zie VMware Verify configureren voor tweeledige verificatie.

Lengte van verificatiesessie

Voor elke regel stelt u het aantal uur in waarin deze verificatie geldig is. De waarde Opnieuw verifiëren na bepaalt de maximale tijd waarover gebruikers sinds hun laatste verificatiegebeurtenis beschikken om toegang te krijgen tot hun portal, of om een specifieke applicatie te starten. Bijvoorbeeld: een waarde van acht in een regel van een webapplicatieregel betekent dat eenmaal geverifieerd, gebruikers gedurende acht uur niet opnieuw hoeven te verifiëren.

De beleidsregelinstelling Opnieuw verifiëren na heeft geen controle over de applicatie-sessies. De instelling regelt de tijd waarna gebruikers opnieuw moeten verifiëren.

Aangepast foutbericht voor toegang geweigerd

Wanneer een gebruiker probeert om zich aan te melden en dit mislukt door onjuiste verificatiegegevens, een onjuiste configuratie of een systeemfout, wordt het bericht Toegang geweigerd weergegeven. Het standaardbericht is Toegang geweigerd aangezien geen geldige verificatiemethodes zijn gevonden.

U kunt voor elke toegangsbeleidsregel een aangepast foutbericht maken dat het standaardbericht vervangt. Het aangepaste bericht kan tekst bevatten en een koppeling naar een bericht met een oproep tot actie. Bijvoorbeeld: u zou in een beleidsregel waarin de toegang tot ingeschreven apparaten wordt beperkt, het volgende aangepaste foutbericht kunnen maken. Dit verschijnt wanneer een gebruiker zich probeert aan te melden via een apparaat dat niet is ingeschreven. Klik op de koppeling aan het einde van dit bericht om uw apparaat te registreren om toegang tot bedrijfsbronnen te krijgen. Als uw apparaat al is geregistreerd, neem dan contact op met Support voor assistentie.