您可以建立存取原則規則,並指定存取整體 Workspace ONE 入口網站和已授權應用程式必須符合的準則。您也可以建立應用程式特定的存取原則與規則,以管理使用者對於特定 Web 和桌面平台應用程式的存取。
網路範圍
您可以將網路位址指派給存取原則規則,以根據登入和存取應用程式所使用的 IP 位址來管理使用者存取。在以內部部署方式設定 VMware Identity Manager 服務時,您可以針對內部網路存取和外部網路存取設定網路 IP 位址的範圍。然後,您可以根據規則中設定的網路範圍建立不同的規則。
在設定存取原則規則之前,您可以從 [身分識別與存取管理] 索引標籤的 [管理] > [原則] > [網路範圍] 頁面設定網路範圍。
部署中的每個身分識別提供者執行個體已設定為連結網路範圍與驗證方法。設定原則規則時,請確定現有的身分識別提供者執行個體涵蓋了您選取的網路範圍。
裝置類型
存取原則規則會設定為管理用於存取入口網站和資源的裝置類型。您可以指定的裝置包括 iOS 和 Android 行動裝置、執行 Windows 10 或 macOS 作業系統的電腦、網頁瀏覽器、Workspace ONE 應用程式,以及所有裝置類型。
裝置類型為「Workspace ONE 應用程式」的原則規則會定義從裝置登入後,用於從 Workspace ONE 應用程式啟動應用程式的存取原則。若此規則為原則清單中的第一個規則,當使用者完成驗證後,他們可以在 Workspace ONE 應用程式保持登入狀態,並根據預設設定存取其資源長達 90 天。
無論裝置硬體類型和作業系統為何,裝置類型為「網頁瀏覽器」的原則規則會定義使用任何類型網頁瀏覽器的存取原則。
裝置類型為「所有裝置類型」的原則規則會比對所有存取案例。
當使用 Workspace ONE 應用程式來存取應用程式時,原則集會將裝置類型分門別類,其中 Workspace ONE 應用程式為第一個規則,隨後是行動裝置、Windows 和 macOS、網頁瀏覽器裝置類型,最後是所有裝置類型。規則的列出順序表示規則的套用順序。當裝置類型符合驗證方法時,系統會忽略後續的規則。如果裝置類型 Workspace ONE 應用程式規則不是原則清單中的第一個規則,則使用者無法延長登入 Workspace ONE 應用程式的時間。請參閱將 Workspace ONE 應用程式規則套用至存取原則
新增群組
您可以根據使用者的群組成員資格套用不同的驗證規則。群組可以是從企業目錄同步的群組,以及您在 VMware Identity Manager 主控台中建立的本機群組。
當群組指派給存取原則規則時,系統會要求使用者輸入其唯一識別碼,接著要求根據存取原則規則來輸入驗證。請參閱 使用唯一識別碼的登入體驗。依預設,唯一識別碼是使用者名稱。前往 [身分識別與存取管理] > [設定] > [喜好設定] 頁面,即可查看已設定的唯一識別碼值,或變更識別碼。
由規則管理的動作
您可以設定存取原則規則,以允許或拒絕存取工作區和資源。當原則設定為提供特定應用程式的存取權時,您也可以指定允許存取應用程式的動作,而無需進一步驗證。若要套用此動作,使用者需已準備好透過預設存取原則進行驗證。
您可以在套用至動作的規則中選擇性套用條件,例如要包含的網路、裝置類型和群組,以及裝置註冊和符合性狀態。採取拒絕存取動作時,使用者將無法從規則中設定的裝置類型和網路範圍來登入或啟動應用程式。
驗證方法
VMware Identity Manager 服務中設定的驗證方法會套用至存取原則規則。對於每個規則,您可以選取要使用的驗證方法,以驗證登入 Workspace ONE 或存取應用程式的使用者身分。您可以在規則中選取多個驗證方法。
驗證方法將按照在規則中列出的順序進行套用。系統會選取規則中第一個符合驗證方法和網路範圍組態的身分識別提供者執行個體。使用者驗證要求會轉送至身分識別提供者執行個體以進行驗證。如果驗證失敗,則會選取清單中的下一個驗證方法。
您可以在存取原則規則中設定驗證鏈結,以要求使用者必須透過多個驗證方法完成認證才能進行登入。系統會在單一規則中設定兩個驗證條件,而使用者必須正確回應這兩個驗證要求。例如,如果您將驗證設定為使用「密碼」和「VMware Verify」,則使用者必須輸入其密碼和 VMware Verify 通行碼才能進行驗證。
您可以設定後援驗證,讓先前於驗證要求時失敗的使用者有機會重新登入。如果使用者無法使用驗證方法進行驗證,且已設定後援方法,則系統會提示使用者輸入其認證,以使用已設定的其他驗證方法。下列兩個案例說明此後援的運作方式。
- 在第一個案例中,存取原則規則設定為需要使用者使用其密碼及 VMware Verify 通行碼進行驗證。後援驗證設定為需要密碼和 RADIUS 認證,以進行驗證。使用者可輸入正確的密碼,但無法輸入正確的 VMware Verify 通行碼。由於使用者輸入了正確的密碼,因此後援驗證要求僅針對 RADIUS 認證。使用者無需重新輸入密碼。
- 在第二個案例中,存取原則規則設定為需要使用者使用其密碼及其 VMware Verify 通行碼進行驗證。後援驗證設定為需要 RSA SecurID 和 RADIUS 才能進行驗證。使用者可輸入正確的密碼,但無法輸入正確的 VMware Verify 通行碼。後援驗證要求同時包含對 RSA SecurID 認證和 RADIUS 認證的要求才能以進行驗證。
若要設定需要對 Workspace ONE UEM 管理裝置進行驗證和裝置符合性驗證的存取原則規則,則必須在內建身分識別提供者頁面中啟用 [裝置符合性與 (AirWatch)]。請參閱 為 Workspace ONE UEM 管理的裝置啟用符合性檢查。可和使用裝置符合性 (與 AirWatch) 之鏈結的內建身分識別提供者驗證方法為行動 SSO (適用於 iOS)、行動 SSO (適用於 Android) 或憑證 (雲端部署)。
當 VMware Verify 用於雙因素驗證時,VMware Verify 為驗證鏈結中的第二個驗證方法。必須在內建身分識別提供者頁面中啟用 [VMware Verify]。請參閱設定雙重要素驗證適用的 VMware Verify。
驗證工作階段長度
對於每個規則,您可以設定此驗證有效的小時數。在以下時間之後重新驗證值會決定使用者從上次驗證事件到存取其入口網站,或開啟特定應用程式之間所擁有的時間上限。例如,Web 應用程式規則中的值「8」表示完成驗證後,使用者在 8 小時內不需再次重新進行驗證。
原則規則設定在以下時間之後重新驗證不會控制應用程式工作階段。此設定可控制時間,之後使用者必須重新驗證。
自訂存取遭拒錯誤訊息
當使用者嘗試登入,但因為認證無效、組態錯誤或系統錯誤導致登入失敗時,會顯示存取遭拒訊息。預設訊息為由於找不到有效的驗證方法,因此存取遭拒。
您可以建立自訂錯誤訊息,以覆寫每個存取原則規則的預設訊息。自訂訊息可包含文字和呼叫動作訊息的連結。例如,在限制存取已註冊裝置的原則規則中,如果使用者嘗試從未註冊的裝置登入,則您可以建立下列自訂錯誤訊息。按一下此訊息結尾處的連結可註冊您的裝置以存取公司資源。如果您已註冊裝置,請聯絡支援服務以尋求協助。