Создайте правила политики доступа, определяющие критерии, которые нужно выполнить для доступа к порталу Workspace ONE и к разрешенным приложениям в целом. Для управления доступом пользователей к определенным классическим или веб-приложениям можно также создать политики доступа для таких приложений.
Сетевой диапазон
Правилу политики доступа назначаются сетевые адреса, чтобы управлять доступом пользователей на основе IP-адреса, который используется для входа и доступа к приложениям. Если служба Workspace ONE Access настроена локально, можно настроить диапазоны сетевых IP-адресов для внутреннего и внешнего доступа к сети. Затем можно создать разные правила на основе сетевого диапазона, настроенного в правиле.
Сетевые диапазоны настраиваются на вкладке «Управление учетными данными и доступом» на странице «Управление» > «Политики» > «Сетевые диапазоны» перед настройкой правил политики доступа.
Каждый экземпляр поставщика удостоверений в развертывании настроен на связывание сетевых диапазонов с методами проверки подлинности. При настройке правила политики убедитесь, что выбранный сетевой диапазон охвачен имеющимся экземпляром поставщика удостоверений.
Тип устройства
Правила политики доступа настраиваются для управления типом устройства, используемым для доступа к порталу и ресурсам. К устройствам, которые можно указать, относятся мобильные устройства iOS и Android, компьютеры под управлением операционных систем Windows 10 или macOS, веб-браузер, приложение Workspace ONE & Intelligent Hub и все типы устройств.
Правило политики с типом устройства «Приложение Workspace ONE & Intelligent Hub» определяет политику доступа для запуска приложений из приложения Workspace ONE или Intelligent Hub после входа с устройства. Если это правило является первым в списке политик, прошедшие аутентификацию пользователи могут оставаться в приложении и получать доступ к ресурсам в течение максимум 90 дней в соответствии с параметром по умолчанию.
Правило политики с типом устройства «Веб-браузер» определяет политику доступа, предусматривающую использование любых типов веб-браузера, независимо от типов аппаратных устройств и операционных систем.
Правило политики с типом устройства «Все типы устройств» соответствует всем вариантам доступа.
Если приложение Workspace ONE или Intelligent Hub используется для доступа к приложениям, типы устройств упорядочены в наборе политик таким образом, что первым указано правило с типом устройства «Приложение Workspace ONE», за которым следуют правила для мобильных устройств, Windows и macOS, а также веб-браузера. Последним идет правило «Все типы устройств». Порядок, в котором перечислены правила, указывает порядок их применения. Если тип устройства соответствует методу проверки подлинности, последующие правила игнорируются. Если правило с типом устройства «Приложение Workspace ONE» не является первым в списке политик, пользователи не смогут находиться в приложении Workspace ONE в течение длительного периода времени. См. раздел Применение правил приложения Workspace ONE к политикам доступа.
Добавить группы
Различные правила проверки подлинности можно применять в зависимости от группы, к которой относится пользователь. Существует два вида групп: группы, которые получены в результате синхронизации с корпоративным каталогом, и локальные группы, создаваемые в консоли Workspace ONE Access.
Когда группам назначается правило политики доступа, пользователям предлагается ввести уникальный идентификатор, а затем пройти проверку подлинности на основе правила политики доступа. См. раздел «Вход с использованием уникального идентификатора» в Руководстве администратора Workspace ONE Access. По умолчанию уникальный идентификатор представляет собой имя userName. Перейдите на страницу «Управление учетными данными и доступом» > «Настройка» > «Параметры», чтобы увидеть настроенное значение уникального идентификатора или изменить идентификатор.
Действия, управляемые правилами
Можно настроить правило политики доступа, разрешающее или запрещающее доступ к рабочей области и ресурсам. Если политика настроена на предоставление доступа к определенным приложениям, также можно указать действие, чтобы разрешить доступ к приложению без дополнительной проверки подлинности. Для применения этого действия пользователь уже должен пройти проверку подлинности с помощью политики доступа по умолчанию.
В правиле можно выборочно применять условия, которые применяются к действию, например учитываемые сети, типы устройств и группы, а также состояние регистрации устройства и состояние соответствия требованиям. Если действие используется для запрета доступа, пользователи не могут войти в приложения или запустить их с типа устройства и сетевого диапазона, настроенных в правиле.
Способы проверки подлинности
Методы проверки подлинности, настроенные в службе Workspace ONE Access, применяются к правилам политики доступа. Для каждого правила нужно выбрать тип методов проверки подлинности, используемый для идентификации пользователей, которые входят в Workspace ONE или получают доступ к приложению. В правиле можно выбрать несколько методов проверки подлинности.
Способы проверки подлинности применяются в порядке их перечисления в правиле. Используется первый экземпляр поставщика удостоверений, который соответствует требованиям к методу проверки подлинности и конфигурации сетевого диапазона в правиле. При проверке подлинности запрос на проверку подлинности пользователя перенаправляется в экземпляр поставщика удостоверений. Если проверка подлинности завершается ошибкой, выбирается следующий способ проверки подлинности по списку.
В правилах политики доступа можно настроить цепочку проверки подлинности, чтобы пользователи вводили учетные данные в нескольких методах проверки подлинности и только после этого могли входить в систему. В одном правиле настроены два условия проверки подлинности, и пользователь должен правильно ответить на оба запроса проверки подлинности. Например, если для проверки подлинности настроены параметры «Пароль» и VMware Verify, пользователи должны будут ввести пароль и секретный код VMware Verify, чтобы пройти проверку подлинности.
Чтобы предоставить пользователям, которым не удалось пройти предыдущий запрос на проверку подлинности, еще одну возможность войти в систему, можно настроить резервную проверку подлинности. Если выполнение проверки подлинности пользователя завершается сбоем и настроены резервные способы, пользователям будет предложено ввести свои учетные данные для дополнительных настроенных методов проверки подлинности. В следующих двух сценариях описывается возможная реализация резервных способов.
- В первом сценарии правило политики доступа настроено так, что пользователи должны пройти проверку подлинности с использованием пароля и секретного кода VMware Verify. Резервная проверка подлинности настроена на запрос пароля и учетных данных RADIUS для проверки подлинности. Пользователь вводит правильный пароль, но неправильный секретный код VMware Verify. Так как пользователь ввел правильный пароль, резервная проверка подлинности запрашивает только учетные данные RADIUS. Пользователю не нужно повторно вводить пароль.
- Во втором сценарии правило политики доступа настроено так, что пользователи должны пройти проверку подлинности с использованием пароля и секретного кода VMware Verify. Резервная проверка подлинности настроена на требование RSA SecurID и RADIUS для проверки подлинности. Пользователь вводит правильный пароль, но неправильный секретный код VMware Verify. Резервная проверка подлинности настроена на запрос как учетных данных RSA SecurID, так и учетных данных RADIUS для проверки подлинности.
Чтобы настроить правило политики доступа, требующее проверки подлинности и проверки соответствия нормативным требованиям для управляемых устройств Workspace ONE UEM, на странице встроенного поставщика удостоверений должно быть настроено соответствие устройства нормативным требованиям AirWatch. См. раздел Включение проверки соответствия для управляемых устройств Workspace ONE UEM. Ко встроенным методам проверки подлинности поставщика удостоверений, которые могут связать проверку соответствия устройства требованиям AirWatch, относятся единый вход для мобильных устройств iOS, Android или использование сертификата (облачное развертывание).
При использовании VMware Verify для двухфакторной проверки подлинности VMware Verify выступает вторым методом в цепочке проверки подлинности. Компонент VMware Verify должен быть включен на странице «Встроенный поставщик удостоверений». См. раздел Настройка VMware Verify для двухфакторной проверки подлинности.
Длительность сеанса проверки подлинности
Для каждого правила устанавливается количество часов, в течение которых проверка подлинности является действительной. Значение параметра Выполнить повторную проверку подлинности через определяет максимальное количество времени, которое есть у пользователей с момента последнего события проверки подлинности для доступа на портал или запуска определенного приложения. Например, значение 8 в правиле веб-приложения означает, что после прохождения проверки подлинности пользователям не требуется повторная проверка подлинности в течение 8 часов.
Параметр правила политики Выполнить повторную проверку подлинности через не управляет сеансами приложения. Он определяет время, по истечении которого пользователи должны повторно пройти проверку подлинности.
Пользовательское сообщение об ошибке «Доступ запрещен»
Когда пользователи пытаются войти в систему, но им это не удается из-за неверных учетных данных, неправильных настроек или системной ошибки, выводится сообщение об отказе в доступе. По умолчанию отображается следующее сообщение: Доступ запрещен, так как не обнаружено допустимых методов проверки подлинности.
Можно создать настраиваемое сообщение об ошибке, которое переопределяет сообщение по умолчанию для каждого правила политики доступа. Настраиваемое сообщение может содержать текст и ссылку на сообщение с призывом к действию. Например, в правиле политики для предоставления доступа только зарегистрированным устройствам можно указать, что при попытке пользователя войти в систему с незарегистрированного устройства должно отображаться сообщение об ошибке следующего содержания. Зарегистрируйте свое устройство, чтобы получить доступ к корпоративным ресурсам. Для этого перейдите по ссылке в конце этого сообщения. Если устройство уже зарегистрировано, обратитесь за помощью в службу поддержки.