原則包含一或多個存取規則。每個規則皆包含一些設定,可供您設定用來管理整個 Workspace ONE 入口網站或特定 Web 和桌面平台應用程式的使用者存取權。
原則規則可以設定為根據網路、裝置類型或 AirWatch 裝置註冊、相容狀態或正在存取應用程式之類的條件,執行封鎖、允許或逐步驗證使用者等動作。
網路範圍
對於每個規則,您均可透過指定網路範圍決定使用者基礎。網路範圍由一或多個 IP 範圍組成。您可以在設定存取原則集前,從 [身分識別與存取管理] 索引標籤的 [設定] > [網路範圍] 頁面建立網路範圍。
部署中的每個身分識別提供者執行個體連結網路範圍與驗證方法。設定原則規則時,請確定現有的身分識別提供者執行個體涵蓋了網路範圍。
您可以設定特定的網路範圍,藉以限制使用者可登入及存取應用程式。
裝置類型
選取規則管理的裝置類型。用戶端類型為 Web 瀏覽器、Workspace ONE 應用程式、iOS、Android、Windows 10、OS X 和所有裝置類型。
您可以透過設定規則來指定可存取內容的裝置類型,而來自該裝置類型的所有驗證要求都會使用原則規則。
驗證方法
在原則規則中,您可以設定驗證方法的套用順序。驗證方法會按照其列出的順序進行套用。系統會選取原則中第一個符合驗證方法和網路範圍組態的身分識別提供者執行個體。使用者驗證要求會轉送至身分識別提供者執行個體以進行驗證。如果驗證失敗,則會選取清單中的下一個驗證方法。
您可以設定存取原則規則,以要求使用者在登入前通過兩種驗證方法的認證。如果一或兩個驗證方法失敗,且後援方法已設定,系統將會提示使用者輸入其認證,以使用已設定的下一個驗證方法。下列兩個案例說明此驗證鏈結的運作方式。
在第一個案例中,存取原則規則設定為需要使用者使用其密碼及 Kerberos 認證進行驗證。後援驗證設定為需要密碼和 RADIUS 認證,以進行驗證。使用者可輸入正確的密碼,但無法輸入正確的 Kerberos 驗證認證。由於使用者輸入了正確的密碼,因此後援驗證要求僅針對 RADIUS 認證。使用者無需重新輸入密碼。
在第二個案例中,存取原則規則設定為需要使用者使用其密碼及其 Kerberos 認證進行驗證。後援驗證設定為需要 RSA SecurID 和 RADIUS 才能進行驗證。使用者可輸入正確的密碼,但無法輸入正確的 Kerberos 驗證認證。後援驗證要求同時包含對 RSA SecurID 認證和 RADIUS 認證的要求才能以進行驗證。
若要設定存取原則規則,則需要進行驗證和裝置符合性驗證,且必須在內建身分識別提供者頁面中啟用 [與 AirWatch 的裝置符合性]。請參閱設定符合性檢查的存取原則規則。
驗證工作階段長度
對於每個規則,您可以設定此驗證有效的小時數。在以下時間之後重新驗證值會決定使用者從上次驗證事件到存取其入口網站,或啟動特定應用程式之間所擁有的時間上限。例如,若 Web 應用程式規則中的值為 4,則會給予使用者四小時啟動 Web 應用程式,除非他們起始了延長時間的其他驗證事件。
自訂存取遭拒錯誤訊息
當使用嘗試登入,但因為認證無效、組態錯誤或系統錯誤導致登入失敗時,會顯示存取遭拒訊息。預設訊息為由於找不到有效的驗證方法,因此存取遭拒。
您可以為每項存取原則規則建立自訂錯誤訊息,這些訊息能覆寫預設訊息。自訂訊息可包含文字和叫用動作訊息的連結。例如,在您要管理之行動裝置的原則規則中,如果使用者嘗試從未註冊的裝置登入,您可以建立下列自訂錯誤訊息。按一下此訊息結尾處的連結可註冊您的裝置以存取公司資源。如果您已註冊裝置,請聯絡支援服務以尋求協助。
預設原則範例
下列原則範例可說明如何設定預設原則以控制應用程式入口網站的存取權,以及尚未指派特定原則之 Web 應用程式的存取權。
系統會根據原則規則在原則中列出的順序來進行評估。您可以透過在 [原則規則] 區段中拖放規則來變更規則順序。
-
對於內部網路,針對規則設定了兩種驗證方法,Kerberos 為首個驗證方法,密碼驗證為後援方法。若要從內部網路存取應用程式入口網站,服務會先嘗試使用 Kerberos 驗證來驗證使用者,因為它是規則中列出的第一個驗證方法。如果失敗,系統會提示使用者輸入 Active Directory 密碼。使用者使用瀏覽器登入,現在可存取其使用者入口網站的八小時工作階段。
對於來自外部網路 (所有範圍) 的存取,僅可設定 RSA SecurID 一種驗證方法。若要從外部網路存取應用程式入口網站,使用者必須使用 SecurID 登入。使用者使用瀏覽器登入,現在可存取其應用程式入口網站的四小時工作階段。
此預設原則會套用至並未具有應用程式特定原則的所有 Web 和桌面平台應用程式。