Sie können benutzerdefinierte Zugriffsrichtlinien für einzelne Web- und Desktop-Anwendungen erstellen, die sich im Katalog befinden. Diese Zugriffsrichtlinien können den Zugriff je nach Standort, Gerätetyp, Authentifizierungsmethode und Sitzungsdauer einschränken. Um den Zugriff einzuschränken, können Sie einer Anwendungsregel eine bestimmte Gruppe zuordnen.
Im Folgenden finden Sie Beispiele für Web-anwendungsspezifische Richtlinien, die Sie erstellen können, um den Zugriff auf bestimmte Webanwendungen zu steuern.
Beispiel 1: Grundlegende, einer Gruppe zugeordnete Web-anwendungsspezifische Richtlinie
In diesem Beispiel wird eine neue anwendungsspezifische Zugriffsrichtlinie erstellt und auf Webanwendungen angewendet, auf die die Gruppe „Verkaufsteam“ zugreifen kann. Zwei Regeln werden angewendet. Die erste Regel ist spezifisch für Benutzer in der Gruppe „Verkaufsteam“, die über das interne Netzwerk auf die Anwendung zugreifen.
Die Regel für den Zugriff aus dem internen Netzwerk ist wie folgt konfiguriert.
Bei dem Netzwerkbereich handelt es sich um INTERNES NETZWERK.
Benutzer können über den Webbrowserauf den Inhalt zugreifen.
Benutzer gehören der Gruppe Verkaufsteaman.
Die erste Authentifizierungsmethode lautet Kerberos.
Fallback ist Kennwort.
Erneute Authentifizierung der Sitzung nach 8 Stunden.
Um über das interne Netzwerk auf die Anwendungen des Verkaufsteams zuzugreifen, startet ein Mitglied der Gruppe „Verkaufsteam“ eine Anwendung über einen Webbrowser und wird aufgefordert, einen Namen und ein Kerberos-Kennwort einzugeben. Wenn die Kerberos-Authentifizierung fehlschlägt, wird der Benutzer aufgefordert, das Active Directory-Kennwort einzugeben. Die Sitzung ist acht Stunden lang verfügbar. Nach acht Stunden wird der Benutzer aufgefordert, sich erneut anmelden.
Die zweite Regel wird angewendet, wenn Benutzer in der Gruppe „Verkaufsteam“ über einer externe Website über einen Webbrowser auf die Anwendung zugreifen.
Die Regel für den Zugriff über eine externe Website ist wie folgt konfiguriert.
Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
Benutzer können über den Webbrowserauf den Inhalt zugreifen.
Benutzer gehören der Gruppe Verkaufsteaman.
Zu den implementierten Authentifizierungsmethoden gehört die Möglichkeit, sich mit Mobilgeräten und von einem Computer aus anzumelden.
Authentifizierung mithilfe von Mobile SSO (für iOS).
Fallback auf Mobile SSO (für Android).
Fallback auf RSA SecurID.
Erneute Authentifizierung der Sitzung nach 4 Stunden.
Um von außerhalb des Unternehmensnetzwerks auf diese Anwendungen zugreifen zu können, muss sich der Benutzer je nach Gerätetyp mit dem Kennwort für das Mobilgerät oder mit dem RSA SecurID-Kennwort anmelden. Die Sitzung startet und ist vier Stunden lang verfügbar. Nach vier Stunden wird der Benutzer aufgefordert, sich erneut anmelden.
Beispiel 2: Strenge, einer Gruppe zugeordnete Web-anwendungsspezifische Richtlinie
In diesem Beispiel wird eine anwendungsspezifische Zugriffsrichtlinie erstellt und auf eine besonders vertrauliche Webanwendung angewendet. Mitglieder der Gruppe „Vertriebsteam“ können von jedem Gerätetyp aus auf diese Anwendung zugreifen, jedoch nur für eine Stunde, bevor eine erneute Authentifizierung erforderlich ist.
Bei dem Netzwerkbereich handelt es sich um ALLE BEREICHE.
Benutzer können von allen Gerätetypenaus auf den Inhalt zugreifen.
Benutzer gehören der Gruppe Verkaufsteaman.
Die Authentifizierungsmethode lautet RSA SecurID.
Erneute Authentifizierung der Sitzung nach 1 Stunde.
Der „Vertriebsteam“-Benutzer meldet sich an und wird anhand der standardmäßigen Zugriffsregeln authentifiziert und kann auf das Portal und die Ressourcen der Anwendung zugreifen. Der Benutzer klickt auf die Anwendung, die durch die strenge Zugriffsregel gemäß Beispiel 2 verwaltet wird. Der Benutzer wird zum Anmeldebildschirm der RSA SecurID-Authentifizierung weitergeleitet.
Nach der erfolgreichen Anmeldung des Benutzers startet der Dienst die Anwendung und speichert das Authentifizierungsereignis. Der Benutzer kann die Anwendung ohne Anmeldung bis zu einer Stunde lang starten. Nach einer Stunde wird der Benutzer aufgefordert, sich erneut über RSA SecurID zu authentifizieren.