Чтобы применять единый вход при доступе пользователей к ресурсам из приложения Workspace ONE, в политике доступа по умолчанию настраиваются правила для каждого типа устройства, которое используется в Android, iOS, MacOS или Windows 10. Можно также создать правило для типа устройства «Приложение Workspace ONE».

В этом примере конфигурации политики доступа по умолчанию создаются правила, чтобы указать пользователей, которые могут входить в систему с любых сетевых диапазонов. Будут созданы следующие правила.

  • Правило для каждого устройства, которое может использоваться для доступа к приложению Workspace ONE.

  • Правило для доступа пользователей с типом устройства «Приложение Workspace ONE». Каждый метод проверки подлинности, настроенный для устройств, должен быть включен в правило.

  • Правило для доступа пользователей с типом устройства «Веб-браузер», позволяющее получить доступ к Workspace ONE из любого веб-браузера.

Правило для типа устройства «Приложение Workspace ONE» настроено во всех методах проверки подлинности, которые могут использоваться для доступа к приложению Workspace ONE. Один метод проверки подлинности назначается первым, а все остальные настраиваются в качестве резервных типов проверки подлинности. Если пользователи для входа в приложение Workspace ONE используют одно из устройств, они проходят проверку подлинности согласно методу, настроенному для этого типа устройства. Когда после успешной проверки подлинности пользователи запускают другие ресурсы с экрана приложения Workspace ONE, этот метод проверки подлинности распознается и повторная проверка подлинности не будет запрашиваться. Если метод проверки подлинности, используемый для проверки подлинности в Workspace ONE, не распознан, когда пользователь запускает ресурсы из приложения Workspace ONE, отобразится запрос на выполнение проверки подлинности в соответствии с правилом приложения Workspace ONE.

Для удобства укажите тип устройства «Приложение Workspace ONE» в качестве первого правила в политике доступа по умолчанию. Когда это правило располагается первым, пользователи входят в приложение и могут запускать ресурсы без повторной проверки подлинности до истечения срока действия сеанса.

1. Создайте правило для каждого устройства, которое может использоваться для доступа к Workspace ONE. В этом примере приведено правило для разрешения доступа с типом устройства iOS.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.

  • Пользователи могут получить доступ к содержимому с устройств iOS.

  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.

  • Настройте все поддерживаемые методы проверки подлинности.

    • Выполнение аутентификации с использованием метода Единый вход для мобильных устройств (iOS).

    • Резервный метод 1: пароль (облачная среда).

    • Резервный метод 2: совместимость устройств (с AirWatch).

  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

2. Создайте правило для типа устройства «Приложение Workspace ONE». Каждый метод проверки подлинности, настроенный для устройств, должен быть включен в правило.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.

  • Пользователи могут получить доступ к содержимому из приложения Workspace ONE.

  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.

  • Настройте все поддерживаемые методы проверки подлинности.

    • Выполнение аутентификации с использованием метода Единый вход для мобильных устройств (iOS).

    • Резервный метод 1: единый вход для мобильных устройств (Android).

    • Резервный метод 2: пароль (облачная среда).

    • Резервный метод 3: совместимость устройств (с AirWatch).

  • Повторная проверка подлинности сеанса осуществляется через 2160 часов.

2160 часов равно 90 дней, что является сроком доступности маркера обновления маркера OAuth приложения Workspace ONE. См. Применение правил приложения Workspace ONE к политикам доступа.

3. Создайте правило для типа устройства «Веб-браузера» для доступа к Workspace ONE из любого веб-браузера. В этом примере указан резервный метод проверки подлинности «Пароль (локальный каталог)». Для проверки подлинности системных администраторов, которые входят в систему, необходимо настроить хотя бы одно правило проверки подлинности «Пароль (локальный каталог)». Срок действия сеанса истекает через 24 часа.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.

  • Пользователи могут получить доступ к содержимому из веб-браузера.

  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.

  • Настройте все поддерживаемые методы проверки подлинности.

    • Проверка подлинности с типом: Пароль (облачная среда).

    • Резервный метод 2: Пароль.

    • Резервный метод 3: Пароль (локальный каталог).

  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

На следующем снимке экрана приведен пример набора политик доступа по умолчанию при создании правил для всех устройств, приложения Workspace ONE и веб-браузера.

Рис. 1. Набор политик по умолчанию с приложением Workspace ONE, указанным на первом месте

Ниже описывается рабочий процесс, когда настроена эта политика доступа по умолчанию.

  1. Пользователь A входит в приложение Workspace ONE на устройстве iOS и получает запрос на проверку подлинности с помощью метода «Единый вход для мобильных устройств (iOS)». Проверка подлинности выполнена успешно.

  2. Пользователь A запускает ресурс, указанный в приложении Workspace ONE, а поскольку в правиле приложения Workspace ONE метод проверки подлинности «Единый вход для мобильных устройств (iOS)» указан в качестве резервного, ресурс запускается без запроса на повторную проверку подлинности. Пользователь может запускать ресурсы без повторного входа в Workspace ONE в течение 2160 часов.