Можно создать правила политики доступа, чтобы определить критерии, которым должны удовлетворять пользователи для доступа к рабочей области Workspace ONE Intelligent Hub и приложениям, на которые им предоставлены права. Для управления доступом пользователей к определенным классическим или веб-приложениям можно также создать политики доступа для таких приложений.
Сетевой диапазон
Правилу политики доступа необходимо назначить сетевые адреса, чтобы управлять доступом пользователей на основе IP-адреса, который используется для входа и доступа к приложениям. Если служба Workspace ONE Access настроена локально, можно настроить диапазоны сетевых IP-адресов для внутреннего и внешнего доступа к сети. Затем можно создать разные правила на основе сетевого диапазона, настроенного в правиле.
Сетевые диапазоны можно настроить в консоли на странице «Ресурсы» > «Политики» > «Сетевые диапазоны» перед настройкой правил политики доступа.
Каждый экземпляр поставщика удостоверений в развертывании настроен на связывание сетевых диапазонов с методами проверки подлинности. При настройке правила политики убедитесь, что выбранный сетевой диапазон охвачен имеющимся экземпляром поставщика удостоверений.
Тип устройства для доступа к содержимому
При настройке правила политики доступа необходимо выбрать тип устройства, который может использоваться для доступа к содержимому в приложении Workspace ONE Intelligent Hub. Выбрав тип устройства в правиле, можно сопоставить состояние устройства пользователя или регистрации устройства с правилом политики доступа, которое обеспечивает наилучший способ проверки подлинности.
- Значение Все типы устройств настраивается в правиле политики, которое используется во всех случаях доступа.
- Тип устройства Веб-браузер настраивается в правиле политики для доступа к содержимому из любого веб-браузера, независимо от типа оборудования устройства или операционной системы.
- Тип устройства Приложения в Workspace ONE Intelligent Hub настраивается в правиле политики для доступа к содержимому из приложения Workspace ONE Intelligent Hub при входе с устройства.
- Тип устройства iOS настраивается в правиле политики для доступа к содержимому с устройств iPhone и iPad.
В среде арендатора облачной версии Workspace ONE Access тип устройства «iOS» совпадает с устройствами iPhone и iPad независимо от того, включен ли параметр Запрос настольного веб‑сайта в настройках Safari.
- Тип устройства macOS настраивается для доступа к содержимому с устройств, настроенных с помощью macOS.
Для локальной среды также настройте тип устройства macOS таким образом, чтобы он совпадал с устройствами iPad, на которых включен параметр Запрос настольного веб‑сайта в настройках Safari.
- (Только для облачной среды) Тип устройства iPad настраивается в правиле политики для доступа к содержимому с устройств iPad, настроенных с помощью iPadOS. Это правило позволяет определить iPad, независимо от того, включен ли параметр Запрос настольного веб‑сайта в настройках Safari.
Примечание: Если правило политики доступа создается для использования типа устройства iPad, это правило для устройств iPad должно быть указано перед правилом, которое использует тип устройства iOS. В противном случае правило для типа устройства iOS применяется к устройствам iPad, запрашивающим доступ. Это применяется к устройствам iPad с iPadOS или более ранней версией iOS.
- Тип устройства Android настраивается для доступа к содержимому с устройств Android.
- (Только в облачной версии) Тип устройства Chrome OS настраивается для доступа к содержимому с устройств, использующих операционную систему Chrome OS.
- (Только в облачной версии) Тип устройства Linux настраивается для доступа к содержимому с устройств, использующих операционную систему Linux.
- (Только в облачной версии) Тип устройства Windows 10+ настраивается для доступа к содержимому с устройств с Windows 10 и Windows 11. Эта возможность поддерживается на всех устройствах с Windows 11, в том числе на настольных компьютерах и мобильных устройствах.
- Тип устройств Регистрация Windows 10 настроен для включения проверки подлинности при присоединении пользователей к Azure AD, используя готовые к использованию компоненты или настройки Windows.
- Если необходима регистрация устройства, нужно настроить тип устройства Регистрация устройства. В соответствии с этим правилом пользователи должны проходить проверку подлинности в процессе регистрации в Workspace ONE UEM через приложение Workspace ONE Intelligent Hub на устройстве iOS или Android.
Порядок, в котором правила перечислены на странице настройки политики, указывает на порядок применения правил. Если тип устройства соответствует методу проверки подлинности, последующие правила игнорируются. Если правило с типом устройства Приложения в Workspace ONE Intelligent Hub не является первым в списке политик, может пройти некоторое время, прежде чем пользователи смогут войти в приложение Workspace ONE Intelligent Hub.
Добавить группы
Различные правила проверки подлинности можно применять в зависимости от группы, к которой относится пользователь. Существует два вида групп: группы, которые получены в результате синхронизации с корпоративным каталогом, и локальные группы, создаваемые в консоли Workspace ONE Access.
Когда группам назначается правило политики доступа, пользователям предлагается ввести уникальный идентификатор, а затем пройти проверку подлинности на основе правила политики доступа. См. раздел «Вход с использованием уникального идентификатора» в Руководстве администратора Workspace ONE Access. По умолчанию уникальный идентификатор представляет собой имя userName. Перейдите на страницу «Параметры» > «Параметры входа», чтобы увидеть настроенное значение уникального идентификатора или изменить идентификатор.
Действия, управляемые правилами
Можно настроить правило политики доступа, разрешающее или запрещающее доступ к рабочей области и ресурсам. Если политика настроена на предоставление доступа к определенным приложениям, также можно указать действие, чтобы разрешить доступ к приложению без дополнительной проверки подлинности. Для применения этого действия пользователь уже должен пройти проверку подлинности с помощью политики доступа по умолчанию.
В правиле можно выборочно применять условия, которые применяются к действию, например учитываемые сети, типы устройств и группы, а также состояние регистрации устройства и состояние соответствия требованиям. Если действие используется для запрета доступа, пользователи не могут войти в приложения или запустить их с типа устройства и сетевого диапазона, настроенных в правиле.
Способы проверки подлинности
Методы проверки подлинности, настроенные в службе Workspace ONE Access, применяются к правилам политики доступа. Для каждого правила нужно выбрать тип методов проверки подлинности, используемых для идентификации пользователей, которые входят в приложение Workspace ONE Intelligent Hub или получают к нему доступ. В правиле можно выбрать несколько методов проверки подлинности.
Способы проверки подлинности применяются в порядке их перечисления в правиле. Используется первый экземпляр поставщика удостоверений, который соответствует требованиям к методу проверки подлинности и конфигурации сетевого диапазона в правиле. При проверке подлинности запрос на проверку подлинности пользователя перенаправляется в экземпляр поставщика удостоверений. Если проверка подлинности завершается ошибкой, выбирается следующий способ проверки подлинности по списку.
В правилах политики доступа можно настроить цепочку проверки подлинности, чтобы пользователи вводили учетные данные в нескольких методах проверки подлинности и только после этого могли входить в систему. В одном правиле настроены два условия проверки подлинности, и пользователь должен правильно ответить на оба запроса проверки подлинности. Например, если установить для параметра прохождения проверки подлинности значения «Пароль» и «Уровень безопасности Duo», пользователи должны будут ввести пароль и ответ на запрос уровня безопасности Duo, чтобы пройти проверку подлинности.
Если требуется применить несколько условий проверки подлинности, в правило можно включить альтернативные методы проверки подлинности на выбор пользователей. Например, если выбрать метод проверки подлинности с помощью пароля в качестве главного и задать «Маркер FIDO» или Проверку (Intelligent Hub) в качестве дополнительного метода проверки подлинности, то пользователям необходимо будет ввести пароль, а затем выбрать предпочтительный метод проверки подлинности на странице входа в систему.
Чтобы предоставить пользователям, которым не удалось пройти предыдущий запрос на проверку подлинности, еще одну возможность войти в систему, можно настроить резервную проверку подлинности. Если выполнение проверки подлинности пользователя завершается сбоем и настроены резервные способы, пользователям будет предложено ввести свои учетные данные для дополнительных настроенных методов проверки подлинности. В следующих двух сценариях описывается возможная реализация резервных способов.
- В первом сценарии правило политики доступа настроено так, что пользователи должны пройти проверку подлинности с использованием пароля и уровня безопасности Duo. Резервная проверка подлинности настроена на запрос пароля и учетных данных RADIUS для проверки подлинности. Пользователь вводит правильный пароль, но неправильный ответ на запрос уровня безопасности Duo. Так как пользователь ввел правильный пароль, резервная проверка подлинности запрашивает только учетные данные RADIUS. Пользователю не нужно снова вводить пароль.
- Во втором сценарии правило политики доступа настроено на требование проверки подлинности пользователей с использованием их пароля и ответа на запрос уровня безопасности Duo. Резервная проверка подлинности настроена на требование RSA SecurID и RADIUS для проверки подлинности. Пользователь вводит правильный пароль, но неправильный ответ на запрос уровня безопасности Duo. Резервная проверка подлинности настроена на запрос как учетных данных RSA SecurID, так и учетных данных RADIUS для проверки подлинности.
Чтобы настроить правило политики доступа, требующее проверки подлинности и проверки соответствия нормативным требованиям для управляемых устройств Workspace ONE UEM, на странице встроенного поставщика удостоверений должно быть настроено соответствие устройства нормативным требованиям Workspace ONE UEM. См. раздел Включение проверки соответствия для управляемых устройств Workspace ONE UEM в Workspace ONE Access. Ко встроенным методам проверки подлинности поставщика удостоверений, которые могут связать проверку соответствия устройства требованиям Workspace ONE UEM, относятся единый вход для мобильных устройств iOS, Android или использование сертификата (облачное развертывание).
Длительность сеанса проверки подлинности
Для каждого правила устанавливается количество часов, в течение которых проверка подлинности является действительной. Значение параметра Выполнить повторную проверку подлинности через определяет максимальное количество времени, которое есть у пользователей с момента последнего события проверки подлинности для доступа на портал или запуска определенного приложения. Например, значение 8 в правиле веб-приложения означает, что после прохождения проверки подлинности пользователям не требуется повторная проверка подлинности в течение 8 часов.
Правило политики, устанавливающее последующую повторную проверку подлинности, не управляет сеансами приложений. Он определяет время, по истечении которого пользователи должны повторно пройти проверку подлинности.
Пользовательское сообщение об ошибке «Доступ запрещен»
Когда пользователи пытаются войти в систему, но им это не удается из-за неверных учетных данных, неправильных настроек или системной ошибки, выводится сообщение об отказе в доступе. По умолчанию отображается следующее сообщение: Доступ запрещен, так как не обнаружено допустимых методов проверки подлинности.
Можно создать настраиваемое сообщение об ошибке, которое переопределяет сообщение по умолчанию для каждого правила политики доступа. Настраиваемое сообщение может содержать текст и ссылку на сообщение с призывом к действию. Например, в правиле политики для предоставления доступа только зарегистрированным устройствам можно указать, что при попытке пользователя войти в систему с незарегистрированного устройства должно отображаться сообщение об ошибке следующего содержания. Зарегистрируйте свое устройство, чтобы получить доступ к корпоративным ресурсам. Для этого перейдите по ссылке в конце этого сообщения. Если устройство уже зарегистрировано, обратитесь за помощью в службу поддержки.