Чтобы применять единый вход при доступе пользователей к ресурсам из приложения Workspace ONE, в политике доступа по умолчанию настраиваются правила для каждого типа используемого устройства: Android, iOS, MacOS или Windows 10.

В этом примере конфигурации политики доступа, используемой по умолчанию, такая политика создается с правилами, которые распространяются на пользователей, входящих из всех сетевых диапазонов. Для управляемого доступа совместимость устройств для AirWatch настраивается для устройств и правил приложения Workspace ONE. Будут созданы следующие правила.

  • Правило для каждого типа мобильного устройства, которое может использоваться для доступа к приложению Intelligent Hub.
  • Правило для доступа пользователей с типом устройства «Приложение Workspace ONE» для приложения Intelligent Hub. В этом правиле настроены все методы проверки подлинности для всех поддерживаемых устройств. Для поддержки доступа с управляемых устройств применяется метод проверки подлинности «Соответствие устройства политикам».
  • Правило для доступа пользователей с типом устройства «Веб-браузер», позволяющее получить доступ к Workspace ONE из любого веб-браузера.
  • Правило для доступа к ресурсам для пользователей на неуправляемых устройствах.

Если пользователи для входа в приложение Workspace ONE используют одно из устройств, они проходят проверку подлинности согласно методу, настроенному для этого типа устройства. Когда после успешной проверки подлинности пользователи запускают другие ресурсы с экрана приложения Intelligent Hub, этот метод проверки подлинности распознается и повторная проверка подлинности не будет запрашиваться.

Если метод проверки подлинности, используемый для проверки подлинности в Workspace ONE, не распознан, когда пользователь запускает ресурсы из приложения Intelligent Hub, отобразится запрос на выполнение проверки подлинности в соответствии с правилом приложения Workspace ONE.

Пример условий для правила политики доступа, которые следует использовать для Workspace ONE

Для удобства укажите тип устройства «Приложение Workspace ONE» в качестве первого правила в политике доступа по умолчанию. Когда это правило располагается первым, пользователи входят в приложение и могут запускать ресурсы без повторной проверки подлинности до истечения срока действия сеанса.

1. Создайте правило для каждого устройства, которое может использоваться для доступа к Workspace ONE. В этом примере приведено правило для разрешения доступа с типом устройства iOS.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому с устройств iOS.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Выполните проверку подлинности с помощью методов Единый вход для мобильных устройств (iOS) и Совместимость устройств (с AirWatch).
    • Резервный метод 1: пароль (облачная среда).
  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

2. Создайте правило для типа устройства «Приложение Workspace ONE». Каждый метод проверки подлинности, настроенный для устройств на шаге 1, должен быть включен в правило.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому из приложения Workspace ONE.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Выполните проверку подлинности с помощью методов Единый вход для мобильных устройств (iOS) и Совместимость устройств (с AirWatch).
    • Резервный метод 1: Единый вход для мобильных устройств (Android) и Совместимость устройств (с AirWatch).
    • Резервный метод 2: пароль (облачная среда).
  • Повторная проверка подлинности сеанса осуществляется через 2160 часов.

2160 часов равно 90 дней, что является сроком доступности маркера обновления маркера OAuth приложения Workspace ONE.

3. Создайте правило для типа устройства «Веб-браузер» для доступа на портал Workspace ONE из любого веб-браузера. В этом примере указан резервный метод проверки подлинности «Пароль (локальный каталог)». Для проверки подлинности системных администраторов, которые входят в систему, необходимо настроить хотя бы одно правило проверки подлинности «Пароль (локальный каталог)». Срок действия сеанса истекает через 24 часа.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому из веб-браузера.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Проверка подлинности с типом: Пароль (облачная среда).
    • Резервный метод 2: Пароль.
    • Резервный метод 3: Пароль (локальный каталог).
  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

4. Создайте правило для всех типов устройств, чтобы получить доступ к неуправляемым ресурсам.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому со всех устройств.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Проверка подлинности с типом: Пароль (облачная среда).
  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

На следующем снимке экрана приведен пример набора политик доступа по умолчанию при создании правил для всех устройств, приложения Workspace ONE и веб-браузера.

Рис. 1. Набор политик по умолчанию с приложением Workspace ONE, указанным на первом месте

Ниже описывается рабочий процесс, когда настроена эта политика доступа по умолчанию.

  1. Пользователь A входит в приложение Intelligent Hub на устройстве iOS и получает запрос на проверку подлинности с помощью метода «Единый вход для мобильных устройств (iOS)». Третьим правилом является «Единый вход для мобильных устройств (iOS)», и проверка подлинности выполнена успешно.
  2. Пользователь A запускает ресурс, указанный в приложении Workspace ONE, а поскольку в правиле приложения Workspace ONE метод проверки подлинности «Единый вход для мобильных устройств (iOS)» указан в качестве резервного, ресурс запускается без запроса на повторную проверку подлинности. Пользователь может запускать ресурсы без повторного входа в Workspace ONE в течение 2160 часов.

См. также раздел «Настройка правила политики доступа для проверки соответствия».