Eine Richtlinie enthält eine oder mehrere Zugriffsregeln. Jede Regel besteht aus Einstellungen, die Sie zur Verwaltung des Benutzerzugriffs auf deren Anwendungsportale als Ganzes oder auf bestimmte Webanwendungen konfigurieren können.

Jede Identitätsanbieter-Instanz in Ihrer Directories Management-Bereitstellung verknüpft Netzwerkbereiche mit Authentifizierungsmethoden. Beim Konfigurieren einer Richtlinienregel müssen Sie sicherstellen, dass für den Netzwerkbereich eine vorhandene Identitätsanbieter-Instanz gültig ist.

Netzwerkbereich

Für jede Regel legen Sie die Benutzerbasis fest, indem Sie einen Netzwerkbereich angeben. Ein Netzwerkbereich besteht aus mindestens einem IP-Adressenbereich. Vor der Konfiguration der Richtliniensätze für den Zugriff erstellen Sie auf der Seite „Einrichten“ > „Netzwerkbereiche“ der Registerkarte „Identitäts- und Zugriffsmanagement“ die Netzwerkbereiche.

Gerätetyp

Wählen Sie den Gerätetyp aus, den die Regel verwalten soll. Zu den Clienttypen gehören Webbrowser, Identity Manager-Client-Anwendung, iOS, Android und „Alle Gerätetypen“.

Authentifizierungsmethoden

Legen Sie die Priorität der Authentifizierungsmethoden für die Richtlinienregel fest. Die Authentifizierungsmethoden werden in der Reihenfolge angewendet, in der sie aufgeführt sind. Die ersten Identitätsanbieter-Instanzen, die die Authentifizierungsmethode und Netzwerkbereichskonfiguration der Richtlinie erfüllen, werden ausgewählt und die Benutzerauthentifizierungsanforderung zur Authentifizierung an die Identitätsanbieter-Instanz weitergeleitet. Wenn die Authentifizierung scheitert, wird die nächste Authentifizierungsmethode in der Liste ausgewählt. Wenn die Zertifikatsauthentifizierung verwendet wird, muss diese an oberster Stelle der Liste stehen.

Sie können die Regeln für die Zugriffsrichtlinie so konfigurieren, dass Benutzer Anmeldedaten über zwei Authentifizierungsmethoden eingeben müssen, bevor sie sich anmelden können. Wenn eine oder beide Authentifizierungsmethoden scheitern und gleichzeitig Fallback-Methoden konfiguriert wurden, werden Benutzer zur Eingabe ihrer Anmeldedaten für die nächsten konfigurierten Authentifizierungsmethoden aufgefordert. Die beiden nachfolgend aufgeführten Szenarien beschreiben die Funktionsweise der Authentifizierungsverkettung.

  • Im ersten Szenario wird die Regel der Zugriffsrichtlinie so konfiguriert, dass Benutzer sich mit ihrem Kennwort und mit ihren Kerberos-Anmeldedaten authentifizieren müssen. Für die Fallback-Authentifizierung sollen das Kennwort und die RADIUS-Anmeldedaten erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, aber nicht die richtigen Kerberos-Anmeldedaten zur Authentifizierung. Da der Benutzer das korrekte Kennwort eingegeben hat, fordert die Fallback-Authentifizierung nur die RADIUS-Anmeldedaten an. Der Benutzer muss also das Kennwort nicht erneut eingeben.

  • Auch im zweiten Szenario wird die Regel der Zugriffsrichtlinie so konfiguriert, dass Benutzer sich mit ihrem Kennwort und mit ihren Kerberos-Anmeldedaten authentifizieren müssen. Für die Fallback-Authentifizierung sollen allerdings die RSA SecurID und ein RADIUS erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, aber nicht die richtigen Kerberos-Anmeldedaten zur Authentifizierung. Die Fallback-Authentifizierung fordert sowohl die Anmeldedaten für RSA SecurID als auch für RADIUS zur Authentifizierung an.

Dauer der Authentifizierungssitzung

Für jede Regel legen Sie die für diese Authentifizierung gültige Dauer fest. Dieser Wert bestimmt, wie viel Zeit den Benutzern seit ihrem letzten Authentifizierungsereignis maximal für den Zugriff auf ihr Portal oder zum Starten einer bestimmten Web-Anwendung zur Verfügung steht. Mit einem Wert von 4 in einer Web-Anwendungsregel werden beispielsweise für die Benutzer vier Stunden zum Starten der Web-Anwendung bereitgestellt, sofern sie kein weiteres Authentifizierungsereignis initiieren, das den Zeitwert erhöht.

Beispiel für Standardrichtlinie

Die folgende Richtlinie dient als Beispiel dafür, wie Sie die Standardrichtlinie zur Steuerung des Zugriffs auf das App-Portal konfigurieren können. Siehe Verwalten der Benutzerzugriffsrichtlinie.

Die Richtlinienregeln werden in der aufgeführten Reihenfolge ausgewertet. Sie können durch Versetzen der Regel mittels „Drag-and-Drop“ die Richtlinienreihenfolge im Abschnitt „Richtlinienregeln“ verändern.

Im folgenden Anwendungsfall gilt das Richtlinienbeispiel für alle Anwendungen.

    • Für das interne Netzwerk (Interner Netzwerkbereich) sind für die Regel zwei Authentifizierungsmethoden konfiguriert, Kerberos- und Kennwortauthentifizierung als Fallback-Methode. Um auf das App-Portal von einem internen Netzwerk aus zuzugreifen, versucht der Dienst, Benutzer zuerst mit der Kerberos-Authentifizierung zu authentifizieren, da diese als erste Authentifizierungsmethode in der Regel aufgeführt ist. Schlägt diese fehl, werden die Benutzer zur Eingabe ihres Active Directory-Kennworts aufgefordert. Benutzer melden sich mit einem Browser an und haben dann im Rahmen einer Acht-Stunden-Sitzung Zugriff auf ihre Benutzerportale.

    • Für den Zugriff vom externen Netzwerk aus (Alle Bereiche) wurde nur eine Authentifizierungsmethode konfiguriert, RSA SecurID. D. h., Benutzer müssen sich für den Zugriff auf das App-Portal von einem externen Netzwerk aus mit SecurID anmelden. Benutzer melden sich mit einem Browser an und haben dann im Rahmen einer Vier-Stunden-Sitzung Zugriff auf ihre App-Portale.

  1. Wenn ein Benutzer auf eine Ressource (mit Ausnahme von Web-Anwendungen, für die eine Richtlinie für spezifische Web-Anwendungen gilt) zuzugreifen versucht, gilt die Standardrichtlinie für den Portalzugriff.

    So entspricht beispielsweise die Zeit für erneute Authentifizierung derartiger Ressourcen der Zeit für erneute Authentifizierung der Standard-Zugriffsrichtlinienregel. Wenn die Zeit für einen Benutzer, der sich beim Anwendungsportal anmeldet, gemäß der Standard-Zugriffsrichtlinienregel acht Stunden beträgt und der Benutzer während der Sitzung versucht, eine Ressource zu starten, wird die Anwendung gestartet, ohne den Benutzer zur erneuten Authentifizierung aufzufordern.