示例 1：分配给组的特定于 Web 应用程序的基本策略

在此示例中，将创建一个特定于应用程序的新访问策略，并将其应用于销售团队组可以访问的 Web 应用程序。将应用两条规则。第一条规则特定于销售团队组中从内部网络访问该应用程序的用户。

从内部网络进行访问的规则配置如下。

• 网络范围是内部网络。
• 用户可以从 Web 浏览器访问内容。
• 用户属于销售团队组。
• 第一种身份验证方法是 Kerberos。
• 回退身份验证方法是密码。
• 会话在 8 小时后重新进行身份验证。

要从内部网络访问销售团队应用程序，用户应为销售团队组的成员，从 Web 浏览器启动应用程序，并且需要输入用户名和 Kerberos 密码。如果 Kerberos 身份验证失败，用户需要输入 Active Directory 密码。会话有效时长为八小时。八小时后系统会提示用户再次登录。

第二条规则适用于销售团队组中的用户通过 Web 浏览器从外部站点访问此应用程序的情况。

从外部站点访问的规则配置如下。

• 网络范围为所有范围。
• 用户可以从 Web 浏览器访问内容。
• 用户属于销售团队组。
• 所实施的身份验证方法包括能够使用移动设备和计算机登录。
  • 使用移动 SSO (适用于 iOS) 进行身份验证。
  • 回退身份验证方法是移动 SSO（适用于 Android）。
  • 回退身份验证方法是 RSA SecurID。
• 会话在 4 小时后重新进行身份验证。

要从企业网络外部访问这些应用程序，根据设备类型，用户需要使用移动设备通行码或 RSA SecurID 通行码登录。登录后会话将启动，有效时长为四小时。四小时后系统会提示用户再次登录。

示例 2：分配给组的特定于 Web 应用程序的严格策略

在此示例中，将创建一个特定于应用程序的访问策略，并将其应用于一个特别敏感的 Web 应用程序。销售团队组的成员可以从任何类型的设备访问此应用程序，但只能保持 1 小时，之后需要再次进行身份验证。

• 网络范围为所有范围。
• 用户可以从所有设备类型访问内容。
• 用户属于销售团队组。
• 身份验证方法为 RSA SecurID。
• 会话在 1 小时后重新进行身份验证。

销售团队用户登录并基于默认访问策略规则进行身份验证，然后可以访问应用程序门户和资源。用户单击由示例 2 中所指定的严格访问策略规则管理的应用程序。用户被重定向至 RSA SecurID 身份验证登录屏幕。

用户成功登录后，服务将启动应用程序并保存身份验证事件。用户最多可以在一小时内继续启动该应用程序而无需登录。一小时后，系统会提示用户重新通过 RSA SecurID 进行身份验证。