Чтобы применять единый вход при доступе пользователей к ресурсам из приложения Workspace ONE, в политике доступа по умолчанию настраиваются правила для каждого типа устройства, которое используется в Android, iOS, MacOS или Windows 10. Можно также создать правило для типа устройства «Приложение Workspace ONE».

В этом примере конфигурации политики доступа по умолчанию создаются правила, чтобы указать пользователей, которые могут входить в систему с любых сетевых диапазонов. Будут созданы следующие правила.

  • Правило для каждого устройства, которое может использоваться для доступа к приложению Workspace ONE.
  • Правило для доступа пользователей с типом устройства «Приложение Workspace ONE». Каждый метод проверки подлинности, настроенный для устройств, должен быть включен в правило.
  • Правило для доступа пользователей с типом устройства «Веб-браузер», позволяющее получить доступ к Workspace ONE из любого веб-браузера.

Правило для типа устройства «Приложение Workspace ONE» настроено во всех методах проверки подлинности, которые могут использоваться для доступа к приложению Workspace ONE. Один метод проверки подлинности назначается первым, а все остальные настраиваются в качестве резервных типов проверки подлинности. Если пользователи для входа в приложение Workspace ONE используют одно из устройств, они проходят проверку подлинности согласно методу, настроенному для этого типа устройства. Когда после успешной проверки подлинности пользователи запускают другие ресурсы с экрана приложения Workspace ONE, этот метод проверки подлинности распознается и повторная проверка подлинности не будет запрашиваться. Если метод проверки подлинности, используемый для проверки подлинности в Workspace ONE, не распознан, когда пользователь запускает ресурсы из приложения Workspace ONE, отобразится запрос на выполнение проверки подлинности в соответствии с правилом приложения Workspace ONE.

Для удобства укажите тип устройства «Приложение Workspace ONE» в качестве первого правила в политике доступа по умолчанию. Когда это правило располагается первым, пользователи входят в приложение и могут запускать ресурсы без повторной проверки подлинности до истечения срока действия сеанса.

1. Создайте правило для каждого устройства, которое может использоваться для доступа к Workspace ONE. В этом примере приведено правило для разрешения доступа с типом устройства iOS.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому с устройств iOS.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Выполнение аутентификации с использованием метода Единый вход для мобильных устройств (iOS).
    • Резервный метод 1: пароль (облачная среда).
    • Резервный метод 2: совместимость устройств (с AirWatch).
  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

2. Создайте правило для типа устройства «Приложение Workspace ONE». Каждый метод проверки подлинности, настроенный для устройств, должен быть включен в правило.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому из приложения Workspace ONE.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Выполнение аутентификации с использованием метода Единый вход для мобильных устройств (iOS).
    • Резервный метод 1: единый вход для мобильных устройств (Android).
    • Резервный метод 2: пароль (облачная среда).
    • Резервный метод 3: совместимость устройств (с AirWatch).
  • Повторная проверка подлинности сеанса осуществляется через 2160 часов.

2160 часов равно 90 дней, что является сроком доступности маркера обновления маркера OAuth приложения Workspace ONE. См. раздел Применение правил приложения Workspace ONE к политикам доступа.

3. Создайте правило для типа устройства «Веб-браузера» для доступа к Workspace ONE из любого веб-браузера. В этом примере указан резервный метод проверки подлинности «Пароль (локальный каталог)». Для проверки подлинности системных администраторов, которые входят в систему, необходимо настроить хотя бы одно правило проверки подлинности «Пароль (локальный каталог)». Срок действия сеанса истекает через 24 часа.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.
  • Пользователи могут получить доступ к содержимому из веб-браузера.
  • Группы не добавляются в правило политики. Поддерживается параметр Все пользователи.
  • Настройте все поддерживаемые методы проверки подлинности.
    • Проверка подлинности с типом: Пароль (облачная среда).
    • Резервный метод 2: Пароль.
    • Резервный метод 3: Пароль (локальный каталог).
  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

На следующем снимке экрана приведен пример набора политик доступа по умолчанию при создании правил для всех устройств, приложения Workspace ONE и веб-браузера.

Рис. 1. Набор политик по умолчанию с приложением Workspace ONE, указанным на первом месте

Ниже описывается рабочий процесс, когда настроена эта политика доступа по умолчанию.

  1. Пользователь A входит в приложение Workspace ONE на устройстве iOS и получает запрос на проверку подлинности с помощью метода «Единый вход для мобильных устройств (iOS)». Проверка подлинности выполнена успешно.
  2. Пользователь A запускает ресурс, указанный в приложении Workspace ONE, а поскольку в правиле приложения Workspace ONE метод проверки подлинности «Единый вход для мобильных устройств (iOS)» указан в качестве резервного, ресурс запускается без запроса на повторную проверку подлинности. Пользователь может запускать ресурсы без повторного входа в Workspace ONE в течение 2160 часов.