在目录中添加 Web 应用程序和桌面应用程序时,您可以创建特定于应用程序的访问策略。例如,您可以针对某个 Web 应用程序创建一个含有规则的策略,这些规则用于指定哪些 IP 地址有权访问该应用程序,使用哪些身份验证方法进行访问,以及多久后需要重新进行身份验证。

以下特定于 Web 应用程序的策略示例说明了如何通过创建策略来控制对指定 Web 应用程序的访问权限。

示例 1 特定于 Web 应用程序的严格策略

在此示例中,将创建一个新策略并将其应用于一个敏感 Web 应用程序。

  1. 要从企业网络外部访问服务,用户必须使用 RSA SecurID 进行登录。用户使用浏览器进行登录,根据默认的访问规则,用户当前在四小时的会话时间内有权访问应用程序门户。

  2. 在四个小时后,用户尝试启动某个应用了敏感 Web 应用程序策略集的 Web 应用程序。

  3. 服务检查策略中的规则并应用具有“所有范围”网络范围的策略,这是因为用户请求来自于 Web 浏览器以及“所有范围”网络范围。

    用户使用 RSA SecurID 身份验证方法登录,但会话刚刚过期。用户将被重定向,以重新进行身份验证。重新验证身份后,用户将获得另一个四小时的会话,并将能够启动应用程序。在接下来的四个小时内,用户可以继续运行应用程序而无需重新进行身份验证。

示例 2 特定于 Web 应用程序的更严格策略

要将更严格的规则应用于超敏感 Web 应用程序,您可能需要在一个小时后在任何设备上使用 SecurID 重新进行身份验证。下面是如何实施这种类型的策略访问规则的示例。

  1. 用户使用 Kerberos 身份验证方法从企业网络内部登录。

    现在,用户可以按照示例 1 中的设置,访问应用程序门户八个小时。

  2. 用户立即尝试启动某个应用了示例 2 策略规则的 Web 应用程序,该策略规则要求进行 RSA SecurID 身份验证。

  3. 用户被重定向至 RSA SecurID 身份验证登录页面。

  4. 用户成功登录后,服务将启动应用程序并保存身份验证事件。

    按照策略规则规定,在不超过一个小时的时间内,用户可以继续运行此应用程序,但一个小时之后,将要求用户重新进行身份验证。