策略包含一个或多个访问规则。每个规则由一些设置组成,您可以配置这些设置以从总体上管理用户对其应用程序门户或指定的 Web 应用程序的访问。

网络范围

对于每个规则,您通过指定网络范围来确定用户群。网络范围由一个或多个 IP 范围组成。在配置访问策略集之前,您可以从“身份和访问管理”选项卡的“设置”>“网络范围”页面创建网络范围。

设备类型

选择规则管理的设备类型。客户端类型包括“Web 浏览器”、“Identity Manager Client 应用程序”、“iOS”、“Android”和“所有设备类型”。

身份验证方法

设置策略规则中的身份验证方法的优先级。身份验证方法将按照它们列出的先后顺序加以应用。满足策略中的身份验证方法和网络范围配置的第一个身份提供程序实例将被选中,然后用户身份验证请求将被转发到该身份提供程序实例进行身份验证。如果身份验证失败,则选择列表中的下一个身份验证方法。如果使用“证书”身份验证,则此方法必须是列表中的第一个身份验证方法。

您可以配置访问策略规则,以要求用户通过两种身份验证方法传递凭据后才能登录。如果其中一种身份验证方法失败或两种身份验证方法均失败,并且还配置了回退方法,系统会提示用户针对所配置的下一种身份验证方法输入其凭据。以下两种情况介绍了身份验证链接的工作方式。

  • 在第一种情况下,访问策略规则被配置为要求用户使用其密码和 Kerberos 凭据进行身份验证。回退身份验证被设置为要求使用密码和 RADIUS 凭据进行身份验证。用户正确输入了密码,但未能输入正确的 Kerberos 身份验证凭据。由于用户输入了正确的密码,因此回退身份验证请求仅要求输入 RADIUS 凭据。用户不需要重新输入密码。

  • 在第二种情况下,访问策略规则被配置为要求用户使用其密码和 Kerberos 凭据进行身份验证。回退身份验证被设置为要求使用 RSA SecurID 和 RADIUS 凭据进行身份验证。用户正确输入了密码,但未能输入正确的 Kerberos 身份验证凭据。回退身份验证请求将要求同时输入 RSA SecurID 凭据和 RADIUS 凭据以进行身份验证。

身份验证会话时长

在每个规则中,您都可以设置身份验证的有效时长。该值决定了用户自其上一次身份验证事件以后,在访问其门户或启动特定 Web 应用程序前可以等待的最长时间。例如,如果 Web 应用程序规则中的值为 4,则表示用户将有 4 个小时可以启动 Web 应用程序,除非他们启动的另一个身份验证事件延长了此时间。

自定义的访问被拒绝错误消息

如果用户尝试登录时由于凭据无效、配置不正确或系统错误而失败,系统会显示一条访问被拒绝消息。默认消息为

由于未找到有效的身份验证方法,访问遭到拒绝 (Access denied as no valid authentication methods were found)。

您可以为每个访问策略规则创建一条自定义错误消息,以替代默认消息。该自定义消息可以包含文本和一个用于调用操作消息的链接。例如,在针对要管理的移动设备的策略规则中,如果用户尝试从未注册的设备登录,则可以显示下列自定义错误消息:

请单击此消息末尾的链接注册您的设备,以便访问公司资源。如果您的设备已经注册,请联系支持部门以获取帮助 (Please enroll your device to access corporate resources by clicking the link at the end of this message. If your device is already enrolled, contact support for help)。

默认策略示例

以下策略举例说明了如何配置默认策略以控制对应用程序门户的访问。请参见管理用户访问策略

策略规则将按照列出的顺序接受评估。您可以通过拖放“策略规则”部分中的规则来更改策略的顺序。

在以下用例中,此策略示例适用于所有应用程序。

    • 对于内部网络(内部网络范围),为规则配置了两种身份验证方法,即,Kerberos 身份验证,以及作为回退方法的密码身份验证。要从内部网络中访问应用程序门户,该服务先尝试使用 Kerberos 身份验证对用户进行身份验证,因为这是在规则中列出的第一种身份验证方法。如果该方法失败,系统将提示用户输入其 Active Directory 密码。用户使用浏览器登录,并且现在可以在 8 小时会话期间访问其用户门户。

    • 对于从外部网络(所有范围)进行的访问,仅配置了一种身份验证方法,即,RSA SecurID。要从外部网络中访问应用程序门户,用户需要使用 SecurID 登录。用户使用浏览器登录,并且现在可以在 4 小时会话期间访问其应用程序门户。

  1. 在用户尝试访问某个资源时(特定于 Web 应用程序的策略涵盖的 Web 应用程序除外),将应用默认门户访问策略。

    例如,此类资源的重新身份验证时间与默认访问策略规则的重新身份验时间一致。根据默认访问策略规则,登录到应用程序门户的用户的时间为 8 小时,当用户在会话期间尝试启动某个资源时,将直接启动该应用程序,而无需重新对用户进行身份验证。