您可以为目录中的单个 Web 应用程序和桌面应用程序创建自定义访问策略。这些访问策略可以根据位置、设备类型、身份验证方法和会话时长来对访问进行限制。要限制访问,可以将特定的组与应用程序规则相关联。

以下是一些特定于 Web 应用程序的策略示例,您可以通过创建这些策略来控制对指定 Web 应用程序的访问。

示例 1:分配给组的特定于 Web 应用程序的基本策略

在此示例中,将创建一个特定于应用程序的新访问策略,并将其应用于销售团队组可以访问的 Web 应用程序。将应用两条规则。第一条规则特定于销售团队组中从内部网络访问该应用程序的用户。

从内部网络进行访问的规则配置如下。

  • 网络范围是内部网络

  • 用户可以从 Web 浏览器访问内容。

  • 用户属于销售团队组。

  • 第一种身份验证方法是 Kerberos

  • 回退身份验证方法是密码

  • 会话在 8 小时后重新进行身份验证。

要从内部网络访问销售团队应用程序,用户应为销售团队组的成员,从 Web 浏览器启动应用程序,并且需要输入用户名和 Kerberos 密码。如果 Kerberos 身份验证失败,用户需要输入 Active Directory 密码。会话有效时长为八小时。八小时后系统会提示用户再次登录。

第二条规则适用于销售团队组中的用户通过 Web 浏览器从外部站点访问此应用程序的情况。

从外部站点访问的规则配置如下。

  • 网络范围为所有范围

  • 用户可以从 Web 浏览器访问内容。

  • 用户属于销售团队组。

  • 所实施的身份验证方法包括能够使用移动设备和计算机登录。

    • 使用移动 SSO(适用于 iOS)进行身份验证。

    • 回退身份验证方法是移动 SSO(适用于 Android)

    • 回退身份验证方法是 RSA SecurID

  • 会话在 4 小时后重新进行身份验证。

要从企业网络外部访问这些应用程序,根据设备类型,用户需要使用移动设备通行码或 RSA SecurID 通行码登录。登录后会话将启动,有效时长为四小时。四小时后系统会提示用户再次登录。

示例 2:分配给组的特定于 Web 应用程序的严格策略

在此示例中,将创建一个特定于应用程序的访问策略,并将其应用于一个特别敏感的 Web 应用程序。销售团队组的成员可以从任何类型的设备访问此应用程序,但只能保持 1 小时,之后需要再次进行身份验证。

  • 网络范围为所有范围

  • 用户可以从所有设备类型访问内容。

  • 用户属于销售团队组。

  • 身份验证方法为 RSA SecurID

  • 会话在 1 小时后重新进行身份验证。

销售团队用户登录并基于默认访问策略规则进行身份验证,然后可以访问应用程序门户和资源。用户单击由示例 2 中所指定的严格访问策略规则管理的应用程序。用户被重定向至 RSA SecurID 身份验证登录屏幕。

用户成功登录后,服务将启动应用程序并保存身份验证事件。用户最多可以在一小时内继续启动该应用程序而无需登录。一小时后,系统会提示用户重新通过 RSA SecurID 进行身份验证。