當使用者從 Workspace ONE 應用程式存取資源時,為了實現單一登入體驗,Workspace ONE Access 中預設的存取原則已針對您的環境 (Android、iOS、MacOS 或 Windows 10) 中使用的每個裝置類型設定了適用的規則。

在此範例的預設存取原則組態中會建立預設的存取原則,其中的規則可涵蓋從所有網路範圍登入的使用者。針對受管理的存取,「AirWatch 的裝置符合性」設定了裝置和 Workspace ONE 應用程式的規則。下列規則已建立。

  • 可用來存取 Intelligent Hub 應用程式的每個裝置類型適用的規則。
  • 使用者從 Workspace ONE 應用程式裝置類型存取 Intelligent Hub 應用程式的規則。各種裝置支援的所有驗證方法都皆設定於此規則中。系統會套用「裝置符合性」驗證方法,以支援受管理裝置的存取。
  • 此規則適用於來自網頁瀏覽器裝置類型之使用者存取的規則,以便從任何網頁瀏覽器存取 Workspace ONE。
  • 未受管理裝置上的使用者存取資源的規則。

當使用者使用其中一個裝置來登入 Workspace ONE 應用程式時,將根據為裝置類型設定的驗證方法進行驗證。成功驗證使用者之後,當他們從 Intelligent Hub 應用程式畫面啟動其他資源時,系統會識別該驗證方法且不會提示使用者重新驗證。

如果用來向 Workspace ONE 驗證的驗證方法無法識別,則當使用者從 Intelligent Hub 應用程式啟動資源時,即會根據 Workspace ONE 應用程式規則提示使用者進行驗證。

要用於 Workspace ONE 的存取原則規則條件的範例

為獲得最佳使用者經驗,請將裝置類型 Workspace ONE 應用程式列為預設存取原則中的第一個規則。當該規則為第一個時,使用者會登入應用程式,且可以啟動資源而不需重新驗證,直到工作階段到期為止。

1. 針對可用來存取 Workspace ONE 應用程式的每個裝置建立一個規則。此範例適用於允許來自裝置類型 iOS 存取的規則。

  • 網路範圍為 ALL RANGES
  • 使用者可存取來自 iOS 的內容。
  • 系統不會將群組新增至原則規則。支援所有使用者
  • 設定所有支援的驗證方法。
    • 使用行動 SSO (適用於 iOS)裝置符合性 (與 AirWatch) 進行驗證。
    • 後援方法 1:密碼 (雲端部署)
  • 系統會在 8 小時後重新驗證工作階段。

2. 針對裝置類型 Workspace ONE 應用程式建立規則。在步驟 1 中為裝置設定的每個驗證方法,都必須包含在此規則中。

  • 網路範圍為 ALL RANGES
  • 使用者可從 Workspace ONE 應用程式存取內容。
  • 系統不會將群組新增至原則規則。支援所有使用者
  • 設定所有支援的驗證方法。
    • 使用行動 SSO (適用於 iOS)裝置符合性 (與 AirWatch) 進行驗證。
    • 後援方法 1:行動 SSO (適用於 Android)裝置符合性 (與 AirWatch)
    • 後援方法 2:密碼 (雲端部署)
  • 系統會在 2160 小時後重新驗證工作階段。

2160 小時等於 90 天,這是 Workspace ONE 應用程式 OAuth 權杖重新整理權杖的存留時間。

3. 針對裝置類型網頁瀏覽器建立規則,以便從任何網頁瀏覽器存取 Workspace ONE 入口網站。包含此範例可作為「密碼 (本機目錄)」驗證方法的後援。若要驗證登入的系統管理員身分,至少必須設定一個規則以使用密碼 (本機目錄) 以進行驗證。工作階段會在 24 小時之後逾時。

  • 網路範圍為 ALL RANGES
  • 使用者可從網頁瀏覽器存取內容。
  • 系統不會將群組新增至原則規則。支援所有使用者
  • 設定所有支援的驗證方法。
    • 使用密碼 (雲端部署) 進行驗證。
    • 後援方法 2:密碼
    • 後援方法 3:密碼 (本機目錄)
  • 系統會在 8 小時後重新驗證工作階段。

4. 建立所有裝置類型存取未受管理資源的規則。

  • 網路範圍為 ALL RANGES
  • 使用者可存取所有裝置中的內容。
  • 系統不會將群組新增至原則規則。支援所有使用者
  • 設定所有支援的驗證方法。
    • 使用密碼 (雲端部署) 進行驗證。
  • 系統會在 8 小時後重新驗證工作階段。

針對所有裝置、Workspace ONE 應用程式和網頁瀏覽器建立規則時,您的預設原則集看起來類似下列的螢幕擷取畫面。

圖 1. Workspace ONE 應用程式的預設原則集會先列出

設定此預設存取原則的流程。

  1. UserA 從其 iOS 裝置登入 Intelligent Hub 應用程式,且系統要求他使用行動 SSO (適用於 iOS) 進行驗證。第三個規則為行動 SSO (適用於 iOS),且驗證成功。
  2. UserA 啟動 Workspace ONE 應用程式中列出的資源,且因為 Workspace ONE 應用程式規則中包含行動 SSO (適用於 iOS) 驗證方法作為後援驗證方法,因此系統會啟動資源而無需再次要求驗證。在 2160 小時內,使用者可以啟動資源,而不需再次登入 Workspace ONE。

另請參閱<設定符合性檢查的存取原則規則>。