當使用者從 Workspace ONE 應用程式存取資源時,為了實現單一登入體驗,預設的存取原則已針對您環境 (Android、iOS、Mac OS 或 Windows 10) 中所使用每個裝置類型的規則進行設定。您也可以為裝置類型 Workspace ONE 應用程式建立規則。

在此範例的預設存取原則組態中會建立預設的存取原則,其中的規則可涵蓋從所有網路範圍登入的使用者。下列規則已建立。

  • 此規則適用於可用來存取 Workspace ONE 應用程式的每個裝置。
  • 此規則適用於來自 Workspace ONE 應用程式裝置類型的使用者存取。必須在規則中包含為每個裝置設定的驗證方法。
  • 此規則適用於來自網頁瀏覽器裝置類型之使用者存取的規則,以便從任何網頁瀏覽器存取 Workspace ONE。

裝置類型 Workspace ONE 應用程式的規則已設定為使用可用來存取 Workspace ONE 應用程式的所有驗證方法。系統會先指派一個驗證方法,並將其他驗證方法設定為後援驗證類型。當使用者使用其中一個裝置來登入 Workspace ONE 應用程式時,將根據為裝置類型設定的驗證方法進行驗證。成功驗證使用者之後,當他們從 Workspace ONE 應用程式畫面啟動其他資源時,系統會識別該驗證方法且不會提示使用者重新驗證。如果用來向 Workspace ONE 驗證的驗證方法無法識別,則當使用者從 Workspace ONE 應用程式啟動資源時,即會根據 Workspace ONE 應用程式規則提示使用者進行驗證。

為獲得最佳使用者經驗,請將裝置類型 Workspace ONE 應用程式列為預設存取原則中的第一個規則。當該規則為第一個時,使用者會登入應用程式,且可以啟動資源而不需重新驗證,直到工作階段到期為止。

1. 針對可用來存取 Workspace ONE 應用程式的每個裝置建立一個規則。此範例適用於允許來自裝置類型 iOS 存取的規則。

  • 網路範圍為 ALL RANGES
  • 使用者可存取來自 iOS 的內容。
  • 系統不會將群組新增至原則規則。支援所有使用者
  • 設定所有支援的驗證方法。
    • 使用行動 SSO (適用於 iOS) 進行驗證。
    • 後援方法 1:密碼 (雲端部署)
    • 後援方法 2:裝置符合性 (與 AirWatch)
  • 系統會在 8 小時後重新驗證工作階段。

2. 針對裝置類型 Workspace ONE 應用程式建立規則。必須在規則中包含為每個裝置設定的驗證方法。

  • 網路範圍為 ALL RANGES
  • 使用者可從 Workspace ONE 應用程式存取內容。
  • 系統不會將群組新增至原則規則。支援所有使用者
  • 設定所有支援的驗證方法。
    • 使用行動 SSO (適用於 iOS) 進行驗證。
    • 後援方法 1:行動 SSO (適用於 Android)
    • 後援方法 2:密碼 (雲端部署)
    • 後援方法 3:裝置符合性 (與 AirWatch)
  • 系統會在 2160 小時後重新驗證工作階段。

2160 小時等於 90 天,這是 Workspace ONE 應用程式 OAuth 權杖重新整理權杖的存留時間。請參閱將 Workspace ONE 應用程式規則套用至存取原則

3. 針對裝置類型網頁瀏覽器建立規則,以便從任何 Web 瀏覽器存取 Workspace ONE。包含此範例可作為「密碼 (本機目錄)」驗證方法的後援。若要驗證登入的系統管理員身分,至少必須設定一個規則以使用密碼 (本機目錄) 以進行驗證。工作階段會在 24 小時之後逾時。

  • 網路範圍為 ALL RANGES
  • 使用者可從網頁瀏覽器存取內容。
  • 系統不會將群組新增至原則規則。支援所有使用者
  • 設定所有支援的驗證方法。
    • 使用密碼 (雲端部署) 進行驗證。
    • 後援方法 2:密碼
    • 後援方法 3:密碼 (本機目錄)
  • 系統會在 8 小時後重新驗證工作階段。

針對所有裝置、Workspace ONE 應用程式和網頁瀏覽器建立規則時,您的預設原則集看起來類似下列的螢幕擷取畫面。

圖 1. Workspace ONE 應用程式的預設原則集會先列出

設定此預設存取原則的流程。

  1. UserA 從其 iOS 裝置登入 Workspace ONE 應用程式,且系統要求其使用行動 SSO (適用於 iOS) 進行驗證。驗證成功。
  2. UserA 啟動 Workspace ONE 應用程式中列出的資源,且因為 Workspace ONE 應用程式規則中包含行動 SSO (適用於 iOS) 驗證方法作為後援驗證方法,因此系統會啟動資源而無需再次要求驗證。在 2160 小時內,使用者可以啟動資源,而不需再次登入 Workspace ONE。