Чтобы применять единый вход при доступе пользователей к ресурсам из приложения Workspace ONE Intelligent Hub, в политике доступа по умолчанию в Workspace ONE Access настраиваются правила для каждого типа используемого устройства: Android, iOS, MacOS или Windows 10.

В этом примере конфигурации политики доступа по умолчанию создаются правила, чтобы указать пользователей, которые могут входить в систему с любых сетевых диапазонов. В случае управляемого доступа совместимость устройств для Workspace ONE UEM настраивается для устройств и правил приложения Workspace ONE Intelligent Hub. Будут созданы следующие правила.

  • Правило для каждого типа устройства, которое может использоваться для доступа к приложению Workspace ONE Intelligent Hub.
  • Правило для доступа пользователей с типом устройства «Приложения в Workspace ONE Intelligent Hub» для приложения Workspace ONE Intelligent Hub. В этом правиле настроены все методы проверки подлинности для всех поддерживаемых устройств. Для поддержки доступа с управляемых устройств применяется метод проверки подлинности «Соответствие устройства политикам».
  • Правило для доступа пользователей с типом устройства «Веб-браузер», позволяющее получить доступ к порталу Hub из любого веб-браузера.
  • Правило для доступа к ресурсам для пользователей на неуправляемых устройствах.

Если пользователи для входа в приложение Workspace ONE Intelligent Hub используют одно из устройств, они проходят проверку подлинности согласно методу, настроенному для этого типа устройства. Когда после успешной проверки подлинности пользователи запускают другие ресурсы из приложения Workspace ONE Intelligent Hub, этот метод проверки подлинности распознается и повторная проверка подлинности не будет запрашиваться.

Если метод проверки подлинности, используемый для проверки подлинности, не распознается, когда пользователь запускает ресурсы из приложения Workspace ONE Intelligent Hub, отобразится запрос на проверку подлинности в соответствии с правилом, которое позволяет пользователям получать доступ к содержимому с типом устройства «Приложения в Workspace ONE Intelligent Hub».

Пример условий для правила политики доступа, которые следует использовать для Workspace ONE

Для удобства укажите тип устройства Приложения в Workspace ONE Intelligent Hub в качестве первого правила в политике доступа по умолчанию. Когда это правило располагается первым, пользователи входят в приложение и могут запускать ресурсы без повторной проверки подлинности до истечения срока действия сеанса.

1. Создайте правила для каждого устройства, которое может использоваться для доступа к приложению Workspace ONE Intelligent Hub. В этом примере приведено правило для разрешения доступа с типом устройства iOS.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому с устройств iOS.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Выполните проверку подлинности с помощью методов Единый вход для мобильных устройств (iOS) и Соответствие устройства нормативным требованиям (для Workspace ONE UEM).
    • Резервный метод 1: пароль (облачная среда).
  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

2. Создайте правило для типа устройства «Приложения в Workspace ONE Intelligent Hub». Каждый метод проверки подлинности, настроенный для устройств на шаге 1, должен быть включен в правило.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому с типом устройства Приложения в Workspace ONE Intelligent Hub.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Выполните проверку подлинности с помощью методов Единый вход для мобильных устройств (iOS) и Соответствие устройства нормативным требованиям (для Workspace ONE UEM).
    • Резервный метод 1. Единый вход для мобильных устройств (Android) и Соответствие устройства нормативным требованиям (с Workspace ONE UEM).
    • Резервный метод 2: пароль (облачная среда).
  • Повторная проверка подлинности сеанса осуществляется через 2160 часов.

2 160 часов равны 90 дням.

3. Создайте правило для типа устройства «Веб-браузер», чтобы обеспечить доступ к порталу Hub из любого веб-браузера. В этом примере указан резервный метод проверки подлинности «Пароль (локальный каталог)». Для проверки подлинности системных администраторов, которые входят в систему, необходимо настроить хотя бы одно правило проверки подлинности «Пароль (локальный каталог)». Срок действия сеанса истекает через 24 часа.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому из веб-браузера.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Проверка подлинности с типом: Пароль (облачная среда).
    • Резервный метод 2: Пароль.
    • Резервный метод 3: Пароль (локальный каталог).
  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

4. Создайте правило для всех типов устройств, чтобы получить доступ к неуправляемым ресурсам.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому со всех устройств.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Проверка подлинности с типом: Пароль (облачная среда).
  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

На следующем снимке экрана приведен пример набора политик по умолчанию при создании правил для каждого типа устройства: Приложения в Workspace ONE Intelligent Hub и Веб-браузер.

Рис. 1. Набор политик по умолчанию с типом устройства «Приложения в Workspace ONE Intelligent Hub», указанным первым в списке
Пример порядка правил с типом устройства «Приложения в Workspace ONE Intelligent Hub» в качестве первого в политике доступа по умолчанию

Ниже описывается рабочий процесс, когда настроена эта политика доступа по умолчанию.

  1. Пользователь A входит в приложение Workspace ONE Intelligent Hub на устройстве iOS и получает запрос на проверку подлинности с помощью метода «Единый вход для мобильных устройств (iOS)». Третьим правилом является «Единый вход для мобильных устройств (iOS)», и проверка подлинности выполнена успешно.
  2. Пользователь A запускает ресурс, указанный в приложении Workspace ONE Intelligent Hub, а поскольку в правиле с типом устройства «Приложения в Workspace ONE Intelligent Hub» метод проверки подлинности «Единый вход для мобильных устройств (iOS)» указан в качестве резервного, ресурс запускается без запроса на повторную проверку подлинности. Пользователь может запускать ресурсы без повторного входа в течение 2160 часов.

См. также раздел «Настройка правила политики доступа для проверки соответствия».