若要將安全存取提供給 SaaS 應用程式,您需設定存取原則。存取原則包含的規則,會指定必須符合才能登入 Workspace ONE 入口網站和使用應用程式的準則。

如需 Workspace ONE UEM 系統中存取原則的詳細資訊,請參閱 Workspace ONE Access,並搜尋管理存取權限

存取原則的彈性

存取原則允許網路中的從寬控制能力,以及限制網路外的存取權限。例如,您可以使用下列規則設定一個存取原則。

  • 允許公司網路內具有單一登入的網路範圍存取。
  • 離開公司網路時,配置相同原則以要求多重要素驗證 (MFA)。
  • 將原則設定為允許存取具有特定裝置擁有權類型的特定使用者群組。其可能封鎖不在群組中的其他群組。

預設存取原則及特定應用程式的存取原則

預設存取原則 - Workspace ONE Access 服務及 Workspace ONE UEM Console 包含預設原則,可控制 SaaS 應用程式的整體存取權限。此原則可讓所有使用者從所有裝置類型存取所有網路範圍。您可以編輯預設存取原則,但您無法刪除該原則。

重要: 對於預設存取原則進行的編輯內容適用於所有應用程式,而且可能影響所有使用者存取 Workspace ONE 的能力。

新增存取政策的網路範圍

定義可讓使用者登入 SaaS 應用程式之 IP 位址的網路範圍。將存取規則套用到 SaaS 應用程式時,指派這些範圍。您需要 Workspace ONE Access 部署和 Workspace ONE UEM 部署的網路範圍。組織的網路部門通常都有網路拓樸。
  1. 導覽至資源 > 應用程式 > 存取原則 > 網路範圍
  2. 選取名稱和編輯範圍,或是選取新增網路範圍
  3. 完成選項以定義範圍。
    設定 描述
    名稱 爲網路範圍輸入一個名稱。
    描述 爲網路範圍輸入描述。
    IP 範圍 輸入在範圍中包含適用裝置的 IP 位址。
    新增列 定義多個 IP 範圍。

設定特定應用程式存取原則

您可以新增特定應用程式存取原則,以控制使用者的 SaaS 應用程式存取權。

  1. 導覽至資源 > 應用程式 > 存取原則 > 新增原則
  2. 定義索引標籤上完成選項
    設定 描述
    原則名稱 爲原則輸入一個名稱。

    可允許的名稱準則包含列出的參數。

    • 以 a-Z 的小寫或大寫字母開頭。
    • 包含從 a-Z 的小寫或大寫字母。
    • 可以包含破折號。
    • 可以包含數字。
    描述 (選擇性) 提供原則的描述。
    適用於 選取您希望為其指派原則的 SaaS 應用程式。
  3. 完成配置標籤上的選項並選取新增原則規則或編輯現有原則。
    設定 描述
    如果使用者的網路範圍是 選取之前在網路範圍程序中設定的網路範圍。
    以及使用者存取內容來源 依據此原則的準則,選取允許存取內容的裝置類型。
    以及使用者屬於群組 依據此原則的準則,選取允許存取內容的使用者群組。

    如果您沒有選取任何群組,原則便適用於所有使用者。

    然後執行此動作 允許驗證、拒絕驗證或不經驗證即允許存取。
    然後使用者可使用以下方式驗證: 選取初始驗證方式以存取內容。
    如果之前的方式失敗或是不適用,則 在初始方式失敗時,選取補救方式以驗證內容。
    新增補救方式 新增其他驗證方式。

    系統會從上而下處理方式,所以請以您希望系統套用方式的順序加以新增。

    以下時間過後重新驗證: 選取使用者無須重新驗證以存取內容的最大可允許存取工作階段長度。
    設定 - 進階屬性 描述 - 進階屬性
    自訂錯誤訊息 輸入使用者驗證失敗時,系統會顯示的自訂「存取遭拒」錯誤訊息。
    自訂錯誤連結文字 輸入驗證失敗時,會讓使用者離開「存取遭拒」錯誤頁面之連結的文字。
    自訂錯誤連結 URL 輸入會讓使用者離開驗證失敗頁面的 URL 位址。
  4. 檢視特定應用程式原則的摘要

Workspace ONE UEM 和 Workspace ONE Access 之間適用於 SaaS 應用程式與存取原則的 SSO

Workspace ONE UEM Console 和 Workspace ONE Access 使用授權碼工作流程,允許透過 Workspace ONE UEM Console 存取 Workspace ONE Access 主控台,並且讓管理員能處理 SaaS 應用程式組態。此流程專門用於 SaaS 應用程式和 Workspace ONE UEM 中的存取原則。在 Workspace ONE UEM 中進行的新增與編輯會反應在 Workspace ONE UEM 中。

在設定期間註冊 OAuth 用戶端

Workspace ONE UEM Console 中設定 Workspace ONE Access 時,執行安裝精靈的過程中需登錄 OAuth 用戶端。使用 SSO 功能的先決條件為註冊 OAuth 用戶端。

工作流程

Workspace ONE Access 和 Workspace ONE UEM 均在後端運作,以向 Workspace ONE Access 驗證 Workspace ONE UEM 管理員。Workspace ONE Access 主控台會將 ID Token 傳送至 Workspace ONE UEM。這個 Token 包含了管理員的相關資訊及驗證資料,供管理員用來存取兩個主控台。兩個主控台的操作均遵循上述程序。

此工作流程說明 Workspace ONE UEM 與 Workspace ONE UEM 之間的 SSO 通訊