當使用者從 Workspace ONE 應用程式存取資源時,為了實現單一登入體驗,預設的存取原則已針對您環境 (Android、iOS、Mac OS 或 Windows 10) 中所使用每個裝置類型的規則進行設定。您也可以為裝置類型 Workspace ONE 應用程式建立規則。
在此範例的預設存取原則組態中會建立預設的存取原則,其中的規則可涵蓋從所有網路範圍登入的使用者。下列規則已建立。
- 此規則適用於可用來存取 Workspace ONE 應用程式的每個裝置。
- 此規則適用於來自 Workspace ONE 應用程式裝置類型的使用者存取。必須在規則中包含為每個裝置設定的驗證方法。
- 此規則適用於來自網頁瀏覽器裝置類型之使用者存取的規則,以便從任何網頁瀏覽器存取 Workspace ONE。
裝置類型 Workspace ONE 應用程式的規則已設定為使用可用來存取 Workspace ONE 應用程式的所有驗證方法。系統會先指派一個驗證方法,並將其他驗證方法設定為後援驗證類型。當使用者使用其中一個裝置來登入 Workspace ONE 應用程式時,將根據為裝置類型設定的驗證方法進行驗證。成功驗證使用者之後,當他們從 Workspace ONE 應用程式畫面啟動其他資源時,系統會識別該驗證方法且不會提示使用者重新驗證。如果用來向 Workspace ONE 驗證的驗證方法無法識別,則當使用者從 Workspace ONE 應用程式啟動資源時,即會根據 Workspace ONE 應用程式規則提示使用者進行驗證。
為獲得最佳使用者經驗,請將裝置類型 Workspace ONE 應用程式列為預設存取原則中的第一個規則。當該規則為第一個時,使用者會登入應用程式,且可以啟動資源而不需重新驗證,直到工作階段到期為止。
1. 針對可用來存取 Workspace ONE 應用程式的每個裝置建立一個規則。此範例適用於允許來自裝置類型 iOS 存取的規則。
- 網路範圍為 ALL RANGES。
- 使用者可存取來自 iOS 的內容。
- 系統不會將群組新增至原則規則。支援所有使用者。
- 設定所有支援的驗證方法。
- 使用行動 SSO (適用於 iOS) 進行驗證。
- 後援方法 1:密碼 (雲端部署)。
- 後援方法 2:裝置符合性 (與 AirWatch)。
- 系統會在 8 小時後重新驗證工作階段。
2. 針對裝置類型 Workspace ONE 應用程式建立規則。必須在規則中包含為每個裝置設定的驗證方法。
- 網路範圍為 ALL RANGES。
- 使用者可從 Workspace ONE 應用程式存取內容。
- 系統不會將群組新增至原則規則。支援所有使用者。
- 設定所有支援的驗證方法。
- 使用行動 SSO (適用於 iOS) 進行驗證。
- 後援方法 1:行動 SSO (適用於 Android)。
- 後援方法 2:密碼 (雲端部署)。
- 後援方法 3:裝置符合性 (與 AirWatch)。
- 系統會在 2160 小時後重新驗證工作階段。
2160 小時等於 90 天,這是 Workspace ONE 應用程式 OAuth 權杖重新整理權杖的存留時間。請參閱將 Workspace ONE 應用程式規則套用至存取原則。
3. 針對裝置類型網頁瀏覽器建立規則,以便從任何 Web 瀏覽器存取 Workspace ONE。包含此範例可作為「密碼 (本機目錄)」驗證方法的後援。若要驗證登入的系統管理員身分,至少必須設定一個規則以使用密碼 (本機目錄) 以進行驗證。工作階段會在 24 小時之後逾時。
- 網路範圍為 ALL RANGES。
- 使用者可從網頁瀏覽器存取內容。
- 系統不會將群組新增至原則規則。支援所有使用者。
- 設定所有支援的驗證方法。
- 使用密碼 (雲端部署) 進行驗證。
- 後援方法 2:密碼。
- 後援方法 3:密碼 (本機目錄)。
- 系統會在 8 小時後重新驗證工作階段。
針對所有裝置、Workspace ONE 應用程式和網頁瀏覽器建立規則時,您的預設原則集看起來類似下列的螢幕擷取畫面。
設定此預設存取原則的流程。
- UserA 從其 iOS 裝置登入 Workspace ONE 應用程式,且系統要求其使用行動 SSO (適用於 iOS) 進行驗證。驗證成功。
- UserA 啟動 Workspace ONE 應用程式中列出的資源,且因為 Workspace ONE 應用程式規則中包含行動 SSO (適用於 iOS) 驗證方法作為後援驗證方法,因此系統會啟動資源而無需再次要求驗證。在 2160 小時內,使用者可以啟動資源,而不需再次登入 Workspace ONE。
