Eine Richtlinie enthält eine oder mehrere Zugriffsregeln. Jede Regel besteht aus Einstellungen, die Sie zur Verwaltung des Benutzerzugriffs auf deren Anwendungsportale als Ganzes oder auf bestimmte Webanwendungen konfigurieren können.

Netzwerkbereich

Für jede Regel legen Sie die Benutzerbasis fest, indem Sie einen Netzwerkbereich angeben. Ein Netzwerkbereich besteht aus mindestens einem IP-Adressenbereich. Vor der Konfiguration der Richtliniensätze für den Zugriff erstellen Sie auf der Seite „Einrichten“ > „Netzwerkbereiche“ der Registerkarte „Identitäts- und Zugriffsmanagement“ die Netzwerkbereiche.

Gerätetyp

Wählen Sie den Gerätetyp aus, den die Regel verwalten soll. Zu den Clienttypen gehören Webbrowser, Identity Manager-Client-Anwendung, iOS, Android und „Alle Gerätetypen“.

Authentifizierungsmethoden

Legen Sie die Priorität der Authentifizierungsmethoden für die Richtlinienregel fest. Die Authentifizierungsmethoden werden in der Reihenfolge angewendet, in der sie aufgeführt sind. Die ersten Identitätsanbieter-Instanzen, die die Authentifizierungsmethode und Netzwerkbereichskonfiguration der Richtlinie erfüllen, werden ausgewählt und die Benutzerauthentifizierungsanforderung zur Authentifizierung an die Identitätsanbieter-Instanz weitergeleitet. Wenn die Authentifizierung scheitert, wird die nächste Authentifizierungsmethode in der Liste ausgewählt. Wenn die Zertifikatsauthentifizierung verwendet wird, muss diese an oberster Stelle der Liste stehen.

Sie können die Regeln für die Zugriffsrichtlinie so konfigurieren, dass Benutzer Anmeldedaten über zwei Authentifizierungsmethoden eingeben müssen, bevor sie sich anmelden können. Wenn eine oder beide Authentifizierungsmethoden scheitern und gleichzeitig Fallback-Methoden konfiguriert wurden, werden Benutzer zur Eingabe ihrer Anmeldedaten für die nächsten konfigurierten Authentifizierungsmethoden aufgefordert. Die beiden nachfolgend aufgeführten Szenarien beschreiben die Funktionsweise der Authentifizierungsverkettung.

  • Im ersten Szenario wird die Regel der Zugriffsrichtlinie so konfiguriert, dass Benutzer sich mit ihrem Kennwort und mit ihren Kerberos-Anmeldedaten authentifizieren müssen. Für die Fallback-Authentifizierung sollen das Kennwort und die RADIUS-Anmeldedaten erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, aber nicht die richtigen Kerberos-Anmeldedaten zur Authentifizierung. Da der Benutzer das korrekte Kennwort eingegeben hat, fordert die Fallback-Authentifizierung nur die RADIUS-Anmeldedaten an. Der Benutzer muss also das Kennwort nicht erneut eingeben.

  • Auch im zweiten Szenario wird die Regel der Zugriffsrichtlinie so konfiguriert, dass Benutzer sich mit ihrem Kennwort und mit ihren Kerberos-Anmeldedaten authentifizieren müssen. Für die Fallback-Authentifizierung sollen allerdings die RSA SecurID und ein RADIUS erforderlich sein. Ein Benutzer gibt das Kennwort korrekt ein, aber nicht die richtigen Kerberos-Anmeldedaten zur Authentifizierung. Die Fallback-Authentifizierung fordert sowohl die Anmeldedaten für RSA SecurID als auch für RADIUS zur Authentifizierung an.

Dauer der Authentifizierungssitzung

Für jede Regel legen Sie die für diese Authentifizierung gültige Dauer fest. Dieser Wert bestimmt, wie viel Zeit den Benutzern seit ihrem letzten Authentifizierungsereignis maximal für den Zugriff auf ihr Portal oder zum Starten einer bestimmten Web-Anwendung zur Verfügung steht. Mit einem Wert von 4 in einer Web-Anwendungsregel werden beispielsweise für die Benutzer vier Stunden zum Starten der Web-Anwendung bereitgestellt, sofern sie kein weiteres Authentifizierungsereignis initiieren, das den Zeitwert erhöht.

Benutzerdefinierte Meldung zu einer Zugriffsverweigerung

Wenn Benutzer versuchen, sich anzumelden, und dies aufgrund ungültiger Anmeldedaten, falscher Konfiguration oder von Systemfehlern nicht möglich ist, wird eine Meldung über eine Zugriffsverweigerung angezeigt. Die Standardmeldung lautet:

Der Zugriff wurde verweigert, da keine gültigen Authentifizierungsmethoden gefunden wurden.

Sie haben die Möglichkeit, für jede Regel der Zugriffsrichtlinie eine benutzerdefinierte Meldung festzulegen, die Vorrang vor der Standardmeldung hat. Die benutzerdefinierte Meldung kann einen Text und einen Link für den Aufruf einer Aktionsmeldung enthalten. Beispielsweise kann in einer Richtlinienregel für von Ihnen verwaltete mobile Geräte im Falle der Anmeldung eines Benutzers von einem nicht angemeldeten Gerät die folgende benutzerdefinierte Fehlermeldung angezeigt werden:

Bitte melden Sie Ihr Gerät durch Anklicken des Links am Ende dieser Meldung für den Zugriff auf die Unternehmensressourcen an. Sollte Ihr Gerät bereits angemeldet sein, kontaktieren Sie den Support. 

Beispiel für Standardrichtlinie

Die folgende Richtlinie dient als Beispiel dafür, wie Sie die Standardrichtlinie zur Steuerung des Zugriffs auf das App-Portal konfigurieren können. Siehe Verwalten der Benutzerzugriffsrichtlinie.

Die Richtlinienregeln werden in der aufgeführten Reihenfolge ausgewertet. Sie können durch Versetzen der Regel mittels „Drag-and-Drop“ die Richtlinienreihenfolge im Abschnitt „Richtlinienregeln“ verändern.

Im folgenden Anwendungsfall gilt das Richtlinienbeispiel für alle Anwendungen.

    • Für das interne Netzwerk (Interner Netzwerkbereich) sind für die Regel zwei Authentifizierungsmethoden konfiguriert, Kerberos- und Kennwortauthentifizierung als Fallback-Methode. Um auf das App-Portal von einem internen Netzwerk aus zuzugreifen, versucht der Dienst, Benutzer zuerst mit der Kerberos-Authentifizierung zu authentifizieren, da diese als erste Authentifizierungsmethode in der Regel aufgeführt ist. Schlägt diese fehl, werden die Benutzer zur Eingabe ihres Active Directory-Kennworts aufgefordert. Benutzer melden sich mit einem Browser an und haben dann im Rahmen einer Acht-Stunden-Sitzung Zugriff auf ihre Benutzerportale.

    • Für den Zugriff vom externen Netzwerk aus (Alle Bereiche) wurde nur eine Authentifizierungsmethode konfiguriert, RSA SecurID. D. h., Benutzer müssen sich für den Zugriff auf das App-Portal von einem externen Netzwerk aus mit SecurID anmelden. Benutzer melden sich mit einem Browser an und haben dann im Rahmen einer Vier-Stunden-Sitzung Zugriff auf ihre App-Portale.

  1. Wenn ein Benutzer auf eine Ressource (mit Ausnahme von Web-Anwendungen, für die eine Richtlinie für spezifische Web-Anwendungen gilt) zuzugreifen versucht, gilt die Standardrichtlinie für den Portalzugriff.

    So entspricht beispielsweise die Zeit für erneute Authentifizierung derartiger Ressourcen der Zeit für erneute Authentifizierung der Standard-Zugriffsrichtlinienregel. Wenn die Zeit für einen Benutzer, der sich beim Anwendungsportal anmeldet, gemäß der Standard-Zugriffsrichtlinienregel acht Stunden beträgt und der Benutzer während der Sitzung versucht, eine Ressource zu starten, wird die Anwendung gestartet, ohne den Benutzer zur erneuten Authentifizierung aufzufordern.