Uma política contém uma ou mais regras de acesso. Cada regra consiste em configurações que você pode definir para gerenciar o acesso dos usuários a seus portais de aplicativos como um todo ou a aplicativos da Web especificados.

Cada instância de provedor de identidade na implantação do Directories Management vincula intervalos de rede a métodos de autenticação. Quando você configura uma regra de política, garanta que o intervalo de rede seja coberto por uma instância de provedor de identidade existente.

Intervalo de rede

Para cada regra, você determina a base de usuários especificando um intervalo de rede. Um intervalo de rede consiste em um ou mais Intervalos de endereços IP. Você cria intervalos de rede a partir da guia Gerenciamento de Identidade e Acesso, Configuração > Intervalos de rede antes de configurar conjuntos de políticas de acesso.

Tipo de dispositivo

Selecione o tipo de dispositivo que a regra gerencia. Os tipos de cliente são navegador da Web, aplicativo de cliente do Identity Manager, iOS, Android e todos os tipos de dispositivos.

Métodos de autenticação

Defina a prioridade dos métodos de autenticação para a regra de política. Os métodos de autenticação são aplicados na ordem em que estão listados. É selecionada a primeira instância do provedor de identidade que atende à configuração do método de autenticação e do intervalo de rede na política, e a solicitação de autenticação de usuário é encaminhada para a instância do provedor de identidade para autenticação. Se a autenticação falhar, é selecionado o próximo método de autenticação na lista. Se a autenticação de certificado for usada, esse método deve ser o primeiro método de autenticação na lista.

Você pode configurar regras de política de acesso que exigem que os usuários passem as credenciais através de dois métodos de autenticação antes que eles possam fazer login. Se um ou ambos os métodos de autenticação falharem e os métodos de fallback também estiverem configurados, será solicitado que os usuários insiram suas credenciais para os próximos métodos de autenticação configurados. Os dois cenários a seguir descrevem como o encadeamento de autenticação pode funcionar.

  • No primeiro cenário, a regra de política de acesso está configurada para exigir que os usuários se autentiquem com sua senha e credencial do Kerberos. A autenticação de fallback é configurada para exigir a senha e a credencial do RADIUS para autenticação. Um usuário insere a senha corretamente, mas não consegue inserir a credencial de autenticação correta do Kerberos. Como o usuário digitou a senha correta, a solicitação de autenticação de fallback destina-se apenas para a credencial do RADIUS. O usuário não precisa digitar novamente a senha.

  • No segundo cenário, a regra de política de acesso está configurada para exigir que os usuários se autentiquem com sua senha e credencial do Kerberos. A autenticação de fallback é configurada para exigir o RSA SecurID e o RADIUS para autenticação. Um usuário insere a senha corretamente, mas não consegue inserir a credencial de autenticação correta do Kerberos. A solicitação de autenticação de fallback destina-se tanto para a credencial RSA SecurID e a credencial RADIUS para autenticação.

Duração da sessão de autenticação

Para cada regra, você define a extensão da validade dessa autenticação. O valor determina a quantidade máxima de tempo que os usuários têm desde o último evento de autenticação para acessar o portal ou lançar um aplicativo da Web específico. Por exemplo, um valor de 4 em uma regra de aplicativo da Web dá aos usuários quatro horas para iniciar o aplicativo da Web a menos que eles iniciem outro evento de autenticação que estende o tempo.

Exemplo de política padrão

A política a seguir serve como um exemplo de como você pode configurar a política padrão para controlar o acesso ao portal de aplicativos. Consulte Gerenciar a política de acesso de usuário.

As regras de política são avaliadas na ordem listada. Você pode alterar a ordem da política, arrastando e soltando a regra na seção Regras de política.

No seguinte caso de uso, esse exemplo de política se aplica a todos os aplicativos.

    • Para a rede interna (intervalo de rede interna), dois métodos de autenticação são configurados para a regra, autenticação de senha e Kerberos como o método de fallback. Para acessar o portal de aplicativos de uma rede interna, o serviço tenta autenticar os usuários com a autenticação Kerberos primeiro, pois ele é o primeiro método de autenticação listado na regra. Se isso falhar, é solicitado que os usuários insiram sua senha do Active Directory. Os usuários fazem login usando um navegador e agora têm acesso a seus portais de usuário para uma sessão de oito horas.

    • Para o acesso a partir da rede externa (todos os intervalos), apenas um método de autenticação é configurado, RSA SecurID. Para acessar o portal de aplicativos a partir de uma rede externa, os usuários são obrigados a fazer login com a SecurID. Os usuários fazem login usando um navegador e agora têm acesso a seus portais de aplicativo para uma sessão de quatro horas.

  1. Quando um usuário tenta acessar um recurso, exceto para aplicativos da Web cobertos por uma política específica de aplicativo da Web, a política padrão de acesso ao portal se aplica.

    Por exemplo, o tempo de re-autenticação para tais recursos corresponde ao tempo de re-autenticação da regra padrão de política de acesso. Se o tempo para um usuário que fizer login no portal de aplicativos for de oito horas de acordo com a regra de política de acesso padrão, quando o usuário tenta iniciar um recurso durante a sessão, o aplicativo inicia sem exigir que o usuário se autentique novamente.