Voor een Single Sign-On-ervaring wanneer gebruikers toegang krijgen tot bronnen vanuit de Workspace ONE-app wordt het standaardtoegangsbeleid geconfigureerd met regels voor elk type apparaat dat wordt gebruikt in uw omgeving: Android, iOS, Mac OS of Windows 10. U maakt ook een regel voor de Workspace ONE-app per apparaattype.

In dit voorbeeld van een configuratie van een standaardtoegangsbeleid wordt het standaardtoegangsbeleid gemaakt voor gebruikers die zich vanaf alle netwerkbereiken aanmelden. De volgende regels worden gemaakt.

  • Een regel voor elk apparaat dat kan worden gebruikt voor toegang tot de Workspace ONE-app.
  • Een regel voor gebruikerstoegang vanaf de Workspace ONE-app voor het apparaattype. Elke verificatiemethode die is geconfigureerd voor de apparaten, moet in de regel worden opgenomen.
  • Een regel voor gebruikerstoegang vanaf de webbrowser voor het apparaattype om toegang tot Workspace ONE te krijgen via elke webbrowser.

De regel voor de Workspace ONE-app voor het apparaattype is geconfigureerd met alle verificatiemethoden die voor toegang tot de Workspace ONE-app kunnen worden gebruikt. Eén verificatiemethode wordt als primaire methode toegewezen en de andere verificatiemethoden worden als alternatieve verificatietypen geconfigureerd. Wanneer gebruikers zich met een van de apparaten bij de Workspace ONE-app aanmelden, worden ze geverifieerd op basis van de verificatiemethode die is geconfigureerd voor het apparaattype. Nadat de gebruiker is geverifieerd, wanneer ze andere bronnen in het scherm van de Workspace ONE-app starten, wordt die verificatiemethode herkend en wordt de gebruiker niet gevraagd om de verificatie opnieuw uit te voeren. Als de methode voor verificatie bij Workspace ONE niet wordt herkend, wanneer een gebruiker bronnen vanuit de Workspace ONE-app start, wordt de gebruiker gevraagd om zich te verifiëren op basis van de Workspace ONE-appregel.

Voor de beste gebruikerservaring vermeldt u de Workspace ONE-app voor het apparaattype als eerste regel in het standaardtoegangsbeleid. Als de regel eerste staat, worden gebruikers bij de app aangemeld en kunnen zij bronnen starten zonder zich opnieuw te verifiëren tot de sessie verloopt.

1. Maak regels voor elk apparaat dat kan worden gebruikt voor toegang tot Workspace ONE. Dit voorbeeld is voor de regel om toegang vanaf het apparaattype iOS toe te staan.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers hebben toegang tot de inhoud vanaf iOS.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifiëren met behulp van Mobiele SSO (voor iOS).
    • Terugvalmethode 1: Wachtwoord (cloudimplementatie).
    • Terugvalmethode 2: Compliance van apparaat (met AirWatch).
  • Sessie opnieuw verifiëren na 8 uur.

2. Maak de regel voor de Workspace ONE-app voor het apparaattype. Elke verificatiemethode die is geconfigureerd voor de apparaten, moet in de regel worden opgenomen.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers kunnen de inhoud vanuit de Workspace ONE-app openen.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifiëren met behulp van Mobiele SSO (voor iOS).
    • Terugvalmethode 1: Mobiele SSO (voor Android).
    • Terugvalmethode 2: Wachtwoord (cloudimplementatie).
    • Terugvalmethode 3: Compliance van apparaat (met AirWatch).
  • Sessie opnieuw verifiëren na 2160 uur.

2160 uur is gelijk aan 90 dagen, wat overeenkomt met de Time-To-Live van het vernieuwingstoken voor het OAuth-token van de Workspace ONE-app. Zie Regels voor applicatie Workspace ONE toepassen op toegangsbeleid.

3. Maak de regel voor de webbrowser voor het apparaattype om via elke webbrowser toegang te krijgen tot Workspace ONE. Dit voorbeeld bevat als terugvaltmethode de verificatiemethode Wachtwoord (lokale directory). Voor verificatie van systeembeheerders die zich aanmelden, moet ten minste één regel worden geconfigureerd om te verifiëren met Wachtwoord (lokale directory). De sessie eindigt na 24 uur.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers kunnen vanaf de webbrowser toegang krijgen tot de inhoud.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifieer met Wachtwoord (cloudimplementatie).
    • Terugvalmethode 2: Wachtwoord.
    • Terugvalmethode 3: Wachtwoord (lokale directory).
  • Sessie opnieuw verifiëren na 8 uur.

Wanneer u regels voor alle apparaten, de Workspace ONE-app en de webbrowser maakt, lijkt uw standaardbeleidsset op de volgende screenshot.

Figuur 1. Standaardbeleidsset met Workspace ONE-app als eerste vermeld

Proces met dit standaardtoegangsbeleid geconfigureerd.

  1. GebruikerA meldt zich aan bij de Workspace ONE-app op het iOS-apparaat en wordt gevraagd om zich te verifiëren via Mobiele SSO (voor iOS). De verificatie is gelukt.
  2. GebruikerA start een bron die in de Workspace ONE-app wordt vermeld en omdat de regel voor de Workspace ONE-app de verificatiemethode Mobiele SSO (voor iOS) als een alternatieve verificatiemethode bevat, wordt de bron gestart zonder opnieuw te verifiëren. De gebruiker kan gedurende 2160 uur bronnen starten zonder zich opnieuw aan te melden bij Workspace ONE.