Чтобы обеспечить безопасный доступ к приложениям SaaS, настройте политики доступа — правила с критериями, которые необходимо соблюдать, чтобы войти на портал Workspace ONE и использовать приложения.

Чтобы получить информацию о политиках доступа в системе Workspace ONE UEM, откройте раздел Workspace ONE Access и введите в поле поиска Управление политиками доступа.

Гибкость политик доступа

Политики доступа позволяют ненавязчиво управлять сетью и запрещать доступ посторонним пользователям. Например, можно настроить одну политику доступа с указанными правилами.

  • Разрешить доступ к диапазону сети с помощью единого входа в сети компании.
  • Настроить ту же политику на запрос многофакторной аутентификации для посторонних пользователей.
  • Настроить политику, чтобы разрешать доступ определенной группе пользователей с определенным типом принадлежности устройств. Это заблокирует доступ для пользователей вне группы.

Политика доступа по умолчанию и политики для определенных приложений

Политика доступа по умолчанию — служба Workspace ONE Access и Workspace ONE UEM Console включают политику по умолчанию, которая управляет доступом к приложениям SaaS в целом. Эта политика разрешает доступ всем пользователям ко всем диапазонам сетей с устройств любого типа. Политику доступа по умолчанию можно изменять, но нельзя удалить.

Важно! Изменения политики доступа по умолчанию применяются ко всем приложениям и могут повлиять на доступ всех пользователей к Workspace ONE.

Добавление диапазонов сетей для политик доступа

Определите диапазоны сетей с IP-адресами, с которых допускается вход пользователей в приложения SaaS. Назначьте эти диапазоны во время применения правил доступа к приложениям SaaS. Вам нужны диапазоны сетей для развертываний Workspace ONE Access и Workspace ONE UEM. В отделе администрирования сетей вашей организации, как правило, есть топология сети.

  1. Перейдите в раздел Ресурсы > Приложения > Политики доступа > Диапазоны сети.

  2. Выберите имя и измените диапазон или выберите Добавить диапазон сети.

  3. Установите параметры для определения диапазонов.

    Настройка Описание
    Имя Введите имя диапазона сети.
    Описание Введите описание диапазона сети.
    Диапазоны IP-адресов Введите IP-адреса, включающие применимые устройства в диапазоне.
    Добавить строку Определите несколько диапазонов IP-адресов.

Настройка политик доступа для определенных приложений

Можно добавить политики управления доступом для определенных приложений, чтобы контролировать доступ пользователей к приложениям SaaS.

  1. Перейдите в раздел Ресурсы > Приложения > Политики доступа > Добавить политику.

  2. Укажите параметры на вкладке Определение

    Настройка Описание
    Название политики Введите имя политики. Допустимые критерии имени включают перечисленные параметры. Начните с буквы в диапазоне от a до Z в нижнем или верхнем регистре. Введите другие буквы от a до Z в верхнем или нижнем регистре. Кроме того, можно использовать тире и цифры.
    Описание (Необязательно) Добавьте описание политики.
    Применяется к Выберите приложения SaaS, которым необходимо назначить политику.
  3. Установите параметры на вкладке Настройка и выберите Добавить правило политики или измените существующую политику.

    Настройка Описание
    Если диапазон сети пользователя составляет Выберите предварительно настроенный диапазон сети.
    И пользователь обращается к контенту с помощью следующих устройств Выберите типы устройств, которым разрешен доступ к контенту согласно критериям этой политики.
    и пользователь входит в группы Выберите группы пользователей, которым разрешен доступ к контенту согласно критериям этой политики. Если не выбрать группы, политика будет применена ко всем пользователям.
    Выполните следующее действие. Выберите действие: разрешить проверку подлинности, отклонить проверку подлинности или разрешить доступ без проверки подлинности.
    то пользователь может выполнить аутентификацию с помощью Выберите способ первичной аутентификации для доступа к контенту.
    Если предыдущий способ ошибочен или неприменим, то Выберите резервный способ аутентификации в случае ошибки первичного.
    Добавить резервный способ Добавьте другой способ аутентификации. Система задействует способы сверху вниз, поэтому добавляйте их в порядке желаемого применения.
    Повторная аутентификация спустя Выберите допустимую длину сеанса перед тем, как обязать пользователя повторно выполнять аутентификацию для доступа к контенту.
  4. Просмотрите политики доступа для определенных приложений в разделе Сводка.

Единый вход между Workspace ONE UEM и Workspace ONE Access для приложений SaaS и политик доступа

Workspace ONE UEM Console и Workspace ONE Access используют рабочий процесс кода авторизации, который обеспечивает доступ к консоли Workspace ONE Access через Workspace ONE UEM Console и позволяет администраторам работать с конфигурациями приложений SaaS. Этот процесс относится только к приложениям SaaS и политикам доступа в Workspace ONE UEM. Дополнения и изменения, вносимые в Workspace ONE UEM, отражаются в Workspace ONE UEM.

Регистрация клиента OAuth во время установки

При установке Workspace ONE Access в Workspace ONE UEM Console выполняется регистрация клиента OAuth. Эта регистрация является необходимым условием для работы функции единого входа.

Рабочий процесс

Workspace ONE Access и Workspace ONE UEM работают на внутреннем сервере для проверки подлинности администратора Workspace ONE UEM в Workspace ONE Access. Workspace ONE Access Console передает маркер идентификатора в Workspace ONE UEM. Этот маркер содержит информацию об администраторе и аутентификации, что позволяет администратору получить доступ к обеим консолям. Две консоли следуют описанному процессу.

Рабочий процесс, иллюстрирующий обмен данными с единым входом

check-circle-line exclamation-circle-line close-line
Scroll to top icon