Voor een Single Sign-On-ervaring wanneer gebruikers toegang krijgen tot bronnen vanuit de Workspace ONE-app wordt het standaardtoegangsbeleid geconfigureerd met regels voor elk type apparaat dat wordt gebruikt in uw omgeving: Android, iOS, MacOS of Windows 10.

19.11In dit voorbeeld van een configuratie van een standaardtoegangsbeleid wordt het standaardtoegangsbeleid gemaakt voor gebruikers die zich vanaf alle netwerkbereiken aanmelden. Voor beheerde toegang wordt Compliance van apparaat voor AirWatch voor de toestellen en de regels voor de Workspace ONE-app geconfigureerd. De volgende regels worden gemaakt.

  • Een regel voor elk type mobiel toestel dat kan worden gebruikt voor toegang tot de Intelligent Hub-app.
  • Een regel voor gebruikerstoegang vanaf het apparaattype met de Workspace ONE-app voor de Intelligent Hub-app. Alle verificatiemethoden voor alle toestellen die worden ondersteund, worden in deze regel geconfigureerd. De verificatiemethode Compliance van apparaat wordt toegepast om toegang vanaf beheerde apparaten te ondersteunen.
  • Een regel voor gebruikerstoegang vanaf de webbrowser voor het apparaattype om toegang tot Workspace ONE te krijgen via elke webbrowser.
  • Een regel voor gebruikers op niet-beheerde apparaten om toegang tot bronnen te krijgen.

Wanneer gebruikers zich met een van de apparaten bij de Workspace ONE-app aanmelden, worden ze geverifieerd op basis van de verificatiemethode die is geconfigureerd voor het apparaattype. Nadat de gebruiker is geverifieerd, wanneer ze andere bronnen in het scherm van de Intelligent Hub-app starten, wordt die verificatiemethode herkend en wordt de gebruiker niet gevraagd om de verificatie opnieuw uit te voeren.

Als de methode voor verificatie bij Workspace ONE niet wordt herkend en een gebruiker bronnen vanuit de Intelligent Hub-app start, wordt de gebruiker gevraagd om zich te verifiëren op basis van de Workspace ONE-appregel.

Voorbeeld van voorwaarden voor toegangsbeleidsregels voor gebruik met Workspace ONE

Voor de beste gebruikerservaring vermeldt u de Workspace ONE-app voor het apparaattype als eerste regel in het standaardtoegangsbeleid. Als de regel eerste staat, worden gebruikers bij de app aangemeld en kunnen zij bronnen starten zonder zich opnieuw te verifiëren tot de sessie verloopt.

1. Maak regels voor elk apparaat dat kan worden gebruikt voor toegang tot Workspace ONE. Dit voorbeeld is voor de regel om toegang vanaf het apparaattype iOS toe te staan.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers hebben toegang tot de inhoud vanaf iOS.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifieer met behulp van Mobiele SSO (voor iOS) en Compliance van apparaat (met AirWatch).
    • Terugvalmethode 1: Wachtwoord (cloudimplementatie).
  • Sessie opnieuw verifiëren na 8 uur.

2. Maak de regel voor de Workspace ONE-app voor het apparaattype. Elke verificatiemethode die in stap 1 is geconfigureerd voor de apparaten, moet in de regel worden opgenomen.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers kunnen de inhoud vanuit de Workspace ONE-app openen.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifieer met behulp van Mobiele SSO (voor iOS) en Compliance van apparaat (met AirWatch).
    • Terugvalmethode 1: Mobiele SSO (voor Android) en Compliance van apparaat (met AirWatch).
    • Terugvalmethode 2: Wachtwoord (cloudimplementatie).
  • Sessie opnieuw verifiëren na 2160 uur.

2160 uur is gelijk aan 90 dagen, wat overeenkomt met de Time-To-Live van het vernieuwingstoken voor het OAuth-token van de Workspace ONE-app.

3. Maak de regel voor de webbrowser voor het apparaattype om via elke webbrowser toegang tot de Workspace ONE-portal te krijgen. Dit voorbeeld bevat als terugvaltmethode de verificatiemethode Wachtwoord (lokale directory). Voor verificatie van systeembeheerders die zich aanmelden, moet ten minste één regel worden geconfigureerd om te verifiëren met Wachtwoord (lokale directory). De sessie eindigt na 24 uur.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers kunnen vanaf de webbrowser toegang krijgen tot de inhoud.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifieer met Wachtwoord (cloudimplementatie).
    • Terugvalmethode 2: Wachtwoord.
    • Terugvalmethode 3: Wachtwoord (lokale directory).
  • Sessie opnieuw verifiëren na 8 uur.

4. Maak de regel voor alle apparaattypen om toegang tot onbeheerde bronnen te krijgen.

  • Het netwerkbereik is ALLE BEREIKEN.
  • Gebruikers krijgen toegang tot de inhoud vanaf Alle toestellen.
  • Er worden geen groepen aan de beleidsregel toegevoegd. Alle gebruikers worden ondersteund.
  • Configureer alle verificatiemethoden die worden ondersteund.
    • Verifieer met Wachtwoord (cloudimplementatie).
  • Sessie opnieuw verifiëren na 8 uur.

Wanneer u regels voor alle apparaten, de Workspace ONE-app en de webbrowser maakt, lijkt uw standaardbeleidsset op de volgende screenshot.

Figuur 1. Standaardbeleidsset met Workspace ONE-app als eerste vermeld

Proces met dit standaardtoegangsbeleid geconfigureerd.

  1. GebruikerA meldt zich aan bij de Intelligent Hub-app op een iOS-apparaat en wordt gevraagd om zich te verifiëren via Mobiele SSO (voor iOS). De derde regel is mobiele SSO (voor iOS) en de verificatie is gelukt.
  2. GebruikerA start een bron die in de Workspace ONE-app wordt vermeld en omdat de regel voor de Workspace ONE-app de verificatiemethode Mobiele SSO (voor iOS) als een alternatieve verificatiemethode bevat, wordt de bron gestart zonder opnieuw te verifiëren. De gebruiker kan gedurende 2160 uur bronnen starten zonder zich opnieuw aan te melden bij Workspace ONE.

Zie ook Toegangsbeleidsregel configureren voor compliancecontrole.