Политика содержит одно или несколько правил доступа. Каждое правило состоит из параметров, которые можно настроить для управления доступом пользователей как к порталу Workspace ONE в целом, так и к определенным классическим и веб-приложениям.
Правило политики можно настроить для выполнения таких действий, как блокировка, разрешение или проверка подлинности повышенного уровня. При этом указанные действия выполняются с учетом сети, типа устройства, статуса регистрации и совместимости устройства AirWatch, а также с учетом приложения, к которому осуществляется доступ. Можно добавить в политику группы, чтобы управлять проверкой подлинности для отдельных групп.
Сетевой диапазон
Для каждого правила нужно определить пользовательскую базу, указав сетевой диапазон. Сетевой диапазон состоит из одного или более диапазонов IP-адресов. Сетевые диапазоны создаются на вкладке «Управление учетными данными и доступом» страницы «Настройка > Сетевые диапазоны» до настройки наборов политик доступа.
Каждый экземпляр поставщика удостоверений в развертывании связывает диапазоны сетевых адресов с методами проверки подлинности. При настройке правила политики убедитесь, что сетевой диапазон охватывается существующим экземпляром поставщика удостоверений.
Настроив определенные диапазоны сетевых адресов, можно ограничить расположения, из которых пользователи могут выполнять вход и получать доступ к приложениям.
Тип устройства
Выберите тип устройства, которым управляет правило. Возможны следующие типы клиентов: веб-браузер, приложение Workspace ONE, iOS, Android, Windows 10, OS X и все типы устройств.
Настроив соответствующие правила, можно задать тип устройств, с которых можно получить доступ к содержимому. Такие правила политики будут использоваться для всех запросов проверки подлинности, поступающих с устройств этого типа.
Добавить группы
Для выполнения проверки подлинности можно применять различные политики на основании членства пользователя в группах. Чтобы назначить для групп пользователей конкретную процедуру проверки подлинности при входе в систему, можно добавить группы в правило политики доступа. Существует два вида групп: группы, которые получены в результате синхронизации с корпоративным каталогом, и локальные группы, создаваемые в консоли администратора. Имена групп должны быть уникальными в пределах домена.
Чтобы использовать группы в правилах политики доступа, необходимо выбрать уникальный идентификатор на странице «Управление учетными данными и доступом» > «Параметры». Атрибут уникального идентификатора необходимо сопоставить на странице «Атрибуты пользователей» и синхронизировать выбранный атрибут с каталогом. Уникальным идентификатором может быть имя пользователя, адрес электронной почты, основное имя пользователя или идентификатор сотрудника. См. раздел Интерфейс входа с использованием уникального идентификатора.
Если в правиле политики доступа используются группы, процедура входа пользователя изменяется. Вместо запроса на выбор пользователем домена и ввод учетных данных отображается страница с запросом на ввод уникального идентификатора. VMware Identity Manager выполняет поиск пользователя во внутренней базе данных по уникальному идентификатору и отображает страницу проверки подлинности, которая настроена в этом правиле.
Если группа не выбрана, правило политики доступа будет применяться ко всем пользователям. При настройке правил политики доступа, которые содержат правила на основе групп и правило для всех пользователей, необходимо убедиться в том, что правилом, которое назначено всем пользователям, является последнее правило в списке, приведенном в разделе политики «Правила политики».
Способы проверки подлинности
В правиле политики необходимо установить очередность применения таких методов проверки подлинности. Способы проверки подлинности применяются в порядке их перечисления. Используется первый экземпляр поставщика удостоверений, который соответствует требованиям к методу проверки подлинности и конфигурации сетевого диапазона в политике. При проверке подлинности запрос на проверку подлинности пользователя перенаправляется в экземпляр поставщика удостоверений. Если проверка подлинности завершается ошибкой, выбирается следующий способ проверки подлинности по списку.
Длительность сеанса проверки подлинности
Для каждого правила устанавливается количество часов, в течение которых проверка подлинности является действительной. Значение параметра Выполнить повторную проверку подлинности через определяет максимальное количество времени, которое есть у пользователей с момента последнего события проверки подлинности для доступа на портал или запуска определенного приложения. Например, если установлено значение 4 в правиле веб-приложения, то пользователям предоставляется четыре часа, чтобы запустить веб-приложение, при условии, что они не инициируют еще одно событие проверки подлинности, увеличивающее время сеанса.
Пользовательское сообщение об ошибке «Доступ запрещен»
Когда пользователь пытается войти в систему, но ему это не удается из-за неверных учетных данных, неправильных настроек или системной ошибки, выводится сообщение об отказе в доступе. По умолчанию отображается следующее сообщение: Доступ запрещен, так как не обнаружено допустимых методов проверки подлинности.
Для каждого правила политики доступа можно создать настраиваемое сообщение об ошибке, которое переопределяет сообщение по умолчанию. Настраиваемое сообщение может содержать текст и ссылку на сообщение с призывом к действию. Например, в правиле политики для мобильных устройств, которыми необходимо управлять, можно указать, что при попытке пользователя войти в систему с незарегистрированного устройства должно отображаться сообщение об ошибке следующего содержания. Зарегистрируйте свое устройство, чтобы получить доступ к корпоративным ресурсам. Для этого перейдите по ссылке в конце этого сообщения. Если устройство уже зарегистрировано, обратитесь за помощью в службу поддержки.
