Voor een Single Sign-On-ervaring wanneer gebruikers toegang krijgen tot resources vanuit de Workspace ONE Intelligent Hub-app, wordt het standaardtoegangsbeleid geconfigureerd in Workspace ONE Access met regels voor elk type apparaat dat wordt gebruikt in uw omgeving: Android, iOS, MacOS of Windows 10.

In dit voorbeeld van een configuratie van een standaardtoegangsbeleid wordt het standaardtoegangsbeleid gemaakt voor gebruikers die zich vanaf alle netwerkbereiken aanmelden. Voor beheerde toegang wordt Compliance van apparaat voor Workspace ONE UEM geconfigureerd voor de apparaten en de Workspace ONE Intelligent Hub-appregels. De volgende regels worden gemaakt.

  • Een regel voor elk type apparaat dat kan worden gebruikt voor toegang tot de Workspace ONE Intelligent Hub-app.
  • Een regel voor gebruikerstoegang vanaf het apparaattype Apps op VMware Workspace ONE Intelligent Hub voor de Workspace ONE Intelligent Hub-app. Alle verificatiemethoden voor alle toestellen die worden ondersteund, worden in deze regel geconfigureerd. De verificatiemethode Compliance van apparaat wordt toegepast om toegang vanaf beheerde apparaten te ondersteunen.
  • Een regel voor gebruikerstoegang vanaf de webbrowser voor het apparaattype om toegang tot de Hub-portal te krijgen via elke webbrowser.
  • Een regel voor gebruikers op niet-beheerde apparaten om toegang tot bronnen te krijgen.

Wanneer gebruikers zich met een van de apparaten bij de Workspace ONE Intelligent Hub-app aanmelden, worden ze geverifieerd op basis van de verificatiemethode die is geconfigureerd voor het apparaattype. Als de gebruiker na voltooiing van de verificatie andere resources vanuit de Workspace ONE Intelligent Hub-app start, wordt die verificatiemethode herkend en wordt de gebruiker niet gevraagd om de verificatie opnieuw uit te voeren.

Als de methode voor verificatie niet wordt herkend wanneer een gebruiker resources vanuit de Workspace ONE Intelligent Hub-app start, wordt de gebruiker gevraagd om zich te verifiëren op basis van de regel waarmee gebruikers toegang krijgen tot inhoud vanaf het apparaattype Apps op VMware Workspace ONE Intelligent Hub.

Voorbeeld van voorwaarden voor toegangsbeleidsregels voor gebruik met Workspace ONE

Voor de beste gebruikerservaring vermeldt u het apparaattype Apps op VMware Workspace ONE Intelligent Hub als eerste regel in het standaardtoegangsbeleid. Als de regel eerste staat, worden gebruikers bij de app aangemeld en kunnen zij bronnen starten zonder zich opnieuw te verifiëren tot de sessie verloopt.

1. Maak regels voor elk apparaat dat kan worden gebruikt voor toegang tot de Workspace ONE Intelligent Hub-app. Dit voorbeeld is voor de regel om toegang vanaf het apparaattype iOS toe te staan.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers hebben toegang tot de inhoud vanaf iOS.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifieer met behulp van Mobiele SSO (voor iOS) en Compliance van apparaat (met Workspace ONE UEM).
    • Terugvalmethode 1: Wachtwoord (cloudimplementatie).
  • Sessie opnieuw verifiëren na 8 uur.

2. Maak de regel voor het apparaattype Apps op Workspace ONE Intelligent Hub en configureer de verificatie die u wilt gebruiken, te beginnen met Mobiele SSO (voor iOS). De alternatieve verificatiemethode is Mobiele SSO (voor Android). Als een gebruiker die een Android-apparaat gebruikt, niet kan verifiëren met Mobiele SSO (voor iOS), kan deze gebruiker de alternatieve verificatiemethode, Mobiele SSO (voor Android) en compliance van apparaat, gebruiken.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers hebben toegang tot de inhoud vanaf Apps op VMware Workspace ONE Intelligent Hub.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifieer met behulp van Mobiele SSO (voor iOS) en Compliance van apparaat (met Workspace ONE UEM).
    • Back-upmethode 1: Mobiele SSO (voor Android) en Compliance van apparaat (met Workspace ONE UEM).
    • Terugvalmethode 2: Wachtwoord (cloudimplementatie).
  • Sessie opnieuw verifiëren na 2160 uur.

2160 uur is gelijk aan 90 dagen.

3. Maak de regel voor het apparaattype Webbrowser om via elke webbrowser toegang te krijgen tot de Hub-portal. Dit voorbeeld bevat als terugvaltmethode de verificatiemethode Wachtwoord (lokale directory). Voor verificatie van systeembeheerders die zich aanmelden, moet ten minste één regel worden geconfigureerd om te verifiëren met Wachtwoord (lokale directory). De sessie eindigt na 24 uur.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers kunnen vanaf de webbrowser toegang krijgen tot de inhoud.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifieer met Wachtwoord (cloudimplementatie).
    • Terugvalmethode 2: Wachtwoord.
    • Terugvalmethode 3: Wachtwoord (lokale directory).
  • Sessie opnieuw verifiëren na 8 uur.

4. Maak de regel voor alle apparaattypen om toegang tot onbeheerde bronnen te krijgen.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers krijgen toegang tot de inhoud vanaf Alle toestellen.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifieer met Wachtwoord (cloudimplementatie).
  • Sessie opnieuw verifiëren na 8 uur.

Wanneer u regels voor elk apparaattype (Apps op Workspace ONE Intelligent Hub en Webbrowser) maakt, lijkt uw standaardbeleidsset op de volgende screenshot.

Figuur 1. Standaardbeleidsset met apparaattype Apps op VMware Workspace ONE Intelligent Hub als eerste vermeld
Voorbeeld van de regelvolgorde met het apparaattype Apps op VMware Workspace ONE Intelligent Hub als eerste in het standaardtoegangsbeleid

Proces met dit standaardtoegangsbeleid geconfigureerd.

  1. GebruikerA meldt zich aan bij de Workspace ONE Intelligent Hub-app op een iOS-apparaat en wordt gevraagd om zich te verifiëren via Mobiele SSO (voor iOS). De derde regel is mobiele SSO (voor iOS) en de verificatie is gelukt.
  2. GebruikerA start een resource die in de Workspace ONE Intelligent Hub-app wordt vermeld en omdat de regel met apparaattype Apps op VMware Workspace ONE Intelligent Hub de verificatiemethode Mobiele SSO (voor iOS) als back-upverificatiemethode heeft, wordt de resource gestart zonder opnieuw om verificatie te vragen. De gebruiker kan gedurende 2160 uur resources starten zonder zich opnieuw aan te melden.

Zie ook Toegangsbeleidsregel configureren voor compliancecontrole.