Чтобы управлять тем, когда сотрудники могут использовать приложение Workspace ONE Intelligent Hub для доступа к веб- и настольным приложениям из каталога приложений компании, в консоли Workspace ONE Access необходимо включить и настроить метод авторизации доступа на основе смен и создать политики доступа к определенным приложениям, в которых указываются критерии, которые пользователи должны выполнять для доступа к приложениям.

Управление доступом на основе смен основано на данных о состоянии рабочего, полученных из системы контроля времени, настроенной в службе контроля доступа на основе смен в консоли служб Hub. В Workspace ONE Access создайте политику доступа с правилами, требующими от сотрудников сначала пройти проверку подлинности с помощью метода проверки подлинности, а затем — авторизацию на основе смен, для управления доступом к приложениям.

Рабочий процесс управления доступом на основе смен в службах Hub сканирует состояние сотрудника из системы контроля времени Dimensions каждые 15 минут, и данные сохраняются в хранилище данных кэша служб Hub. Если данные отправлены, а состояние рабочего недоступно, служба Dimensions отправляет состояние Неизвестно. Для управления сценариями, при которых состояние смены недоступно, в конфигурации авторизации на основе смен можно настроить включение или деактивацию возможности авторизации рабочих при неизвестном состоянии. Если включить возможность авторизации рабочих при неизвестном состоянии, они по-прежнему смогут получать доступ к своим приложениям.

Необходимые условия

  • Система контроля времени, настроенная в службе управления доступом на основе смен в консоли служб Hub.
  • Политика доступа со списком приложений, настроенных в каталоге Workspace ONE Access для ограничения.

Настройте эти параметры в консоли Workspace ONE Access.

Подробнее о настройке управления доступом на основе смен на платформе Workspace ONE см. в разделе Использование VMware Workspace ONE для управления доступом на основе смен в цифровой рабочей области.

Процедура

Настройка метода авторизации доступа на основе смен в Workspace ONE Access

  1. В консоли Workspace ONE Access перейдите на страницу Интеграции > Методы проверки подлинности и выберите Доступ на основе смен.
    Страница методов авторизации Workspace ONE Access страницу с выноской «Доступ на основе смен»
  2. Нажмите кнопку НАCТРОИТЬ, чтобы включить метод авторизации и установить дополнительные компоненты.

    Параметр

    Описание

    Включить авторизацию на основе смен

    Установите для параметра Включить значение Да.

    Авторизовать для состояния смены «Неизвестно».

    Это необязательное поле. Состояние Неизвестно означает, что состояние смены рабочего недоступно.

    По умолчанию выбрано значение «Выкл.». рабочим с неизвестным состоянием запрещено получать доступ к своим приложениям.

    Если включен параметр Авторизовать для состояния смены «Неизвестно», рабочим с состоянием Неизвестно (во время смены или за ее пределами), разрешен доступ к своим приложениям.

    Авторизовать, если состояние смены недоступно

    Это необязательное поле. Если компания хочет сделать приоритетным предоставление пользователям доступа, когда система смен не работает, включите поле недоступно.

    Значение по умолчанию — «Выкл.». Если включен параметр Авторизовать, если состояние смены недоступно, Workspace ONE Access управляет авторизацией на основе того, как ваша компания использует систему контроля времени.

    Нажмите кнопку СОХРАНИТЬ.

  3. Перейдите на страницу Поставщики удостоверений и выберите встроенного поставщика удостоверений, которого нужно настроить с использованием авторизации доступа на основе смен.
    1. а.Если это новый поставщик удостоверений, в разделе «Общая информация» добавьте имя поставщика удостоверений, а в разделе «Пользователи» выберите каталог, содержащий группы пользователей для управления доступом на основе смен.
    2. б.В разделе «Методы проверки подлинности» выберите Доступ на основе смен.
    3. в.В разделе «Сеть» выберите соответствующие сетевые диапазоны.
    4. г.В верхней части страницы нажмите кнопку СОХРАНИТЬ.
    Страница «Поставщик удостоверений» в консоли Workspace ONE Access для настройки доступа на основе смен

Создание политики доступа

Создайте для определенного приложения политику доступа с правилами, в соответствии с которыми для доступа к приложению сначала необходимо пройти проверку подлинности, а затем — авторизацию на основе смен.

  1. В консоли Workspace ONE Access перейдите в раздел Ресурсы > Политики и щелкните ДОБАВИТЬ ПОЛИТИКУ.
  2. На странице «Определение» введите имя политики в поле Имя политики, а в текстовом поле Описание укажите предназначение политики. Пример: Политика для управления доступом сотрудников на основе смен.
  3. В разделе Распространяется на выберите имена приложений, требующие авторизации на основе смен для доступа к приложению, и нажмите кнопку ДАЛЕЕ.
  4. На странице Конфигурация щелкните + ДОБАВИТЬ ПРАВИЛО ПОЛИТИКИ.

    Параметр

    Описание

    Если сетевой диапазон для пользователя составляет

    Выберите сетевой диапазон, который сотрудники могут использовать для входа в систему и доступа к приложениям. Значение по умолчанию — «Все диапазоны».

    и пользователи получают доступ к содержимому из

    Выберите тип устройства, к которому применяется это правило.

    Выберите Все типы устройств для правила политики, применяемого ко всем вариантам доступа.

    и пользователи принадлежатк группам

    Если это правило доступа применяется к определенным группам, выберите группы в поле поиска.

    Если группа не указана, правило политики доступа применяется ко всем пользователям.

    Затем выполните следующее действие

    Выберите Проверка подлинности с помощью...

    затем пользователь может выполнить проверку подлинности с помощью

    Настройте метод проверки подлинности, а затем — метод авторизации доступа на основе смен.

    1. а.Выберите метод проверки подлинности, который сотрудник должен использовать для доступа к приложению.
    2. б.Щелкните + и выберите Доступ на основе смен.

    Если предыдущий метод не выполняется или не применяется, то выполните следующие действия.

    При настройке резервного метода проверки подлинности щелкните +, чтобы добавить Доступ на основе смен в резервную конфигурацию.

    Выполните повторную проверку подлинности через

    Установите количество часов, в течение которых эта проверка подлинности является действительной. Значение параметра «Выполнить повторную проверку подлинности через» определяет максимальное количество времени, которое есть у пользователей с момента последнего события проверки подлинности для доступа к приложению.

    Если у рабочего есть действительный маркер сеанса, он может получить доступ к приложению, пока не истечет время сеанса, указанное в параметре Выполнить повторную проверку подлинности через, даже если он не находится на смене.

    Значение по умолчанию: 8 часов. Может понадобиться сократить данный интервал повторной проверки подлинности.

    (Рекомендуется) Дополнительные свойства > Настраиваемое сообщение об ошибке

    Создайте настраиваемое сообщение об ошибке, в котором объясняется причина, из-за которой пользователь не может получить доступ к приложению.

  5. Нажмите кнопку СОХРАНИТЬ.
  6. Создайте правило политики для каждого метода проверки подлинности, настроенного в Workspace ONE Access.
  7. Нажмите кнопку ДАЛЕЕ.
  8. На странице Конфигурация разместите правила в списке по порядку их применения.

    Порядок, в котором правила перечислены на странице настройки политики, указывает на порядок применения правил. Если устройство соответствует условиям правила, это правило выполняется, а последующие правила игнорируются.

Страница настройки правила политики Workspace ONE Access