Puede crear directivas de acceso personalizadas para las aplicaciones de escritorio y web individuales que se encuentran en el catálogo. Estas directivas de acceso pueden restringir el acceso en función de la ubicación, el tipo de dispositivo, el método de autenticación y la duración de la sesión. Para limitar el acceso, puede asociar un grupo específico con una regla de aplicación.
Los siguientes son ejemplos de directivas específicas de aplicaciones web que puede crear para controlar el acceso a las aplicaciones web que se especifican.
Ejemplo 1 Directiva específica de aplicación web básica asignada a un grupo
En este ejemplo, se crea una nueva directiva de acceso específica de aplicación y se aplica a las aplicaciones web a las que puede acceder el grupo del equipo de ventas. Se aplican dos reglas. La primera regla es específica para los usuarios del grupo del equipo de ventas que acceden a la aplicación desde la red interna.
La regla para acceder desde la red interna se configura de la siguiente manera.
- El rango de redes es RED INTERNA.
- Los usuarios pueden acceder al contenido desde el Navegador web.
- Los usuarios pertenecen al grupo Equipo de ventas.
- El primer método de autenticación es Kerberos.
- La reserva es Contraseña.
- Volver a autenticar la sesión después de 8 horas.
Para acceder a las aplicaciones del equipo de ventas desde la red interna, un miembro del grupo del equipo de ventas inicia una aplicación desde un navegador web y se le solicita que introduzca un nombre y una contraseña de Kerberos. Si se produce un error en la autenticación de Kerberos, se solicita que el usuario introduzca la contraseña de Active Directory. La sesión está disponible durante ocho horas. Después de ocho horas, se solicita al usuario que vuelva a iniciar sesión.
La segunda regla se aplica si los usuarios del grupo del equipo de ventas acceden a la aplicación desde un sitio externo mediante un navegador web.
La regla para acceder desde un sitio externo se configura de la siguiente manera.
- El rango de redes es TODOS LOS RANGOS.
- Los usuarios pueden acceder al contenido desde el Navegador web.
- Los usuarios pertenecen al grupo Equipo de ventas.
- Entre los métodos de autenticación implementados se incluye la capacidad de iniciar sesión con dispositivos móviles y desde un equipo.
- Autenticar con SSO móvil (para iOS).
- Reserva: SSO móvil (para Android).
- Reserva: RSA SecurID.
- Volver a autenticar la sesión después de 4 horas.
Para acceder a estas aplicaciones desde fuera de la red empresarial, según el tipo de dispositivo, se solicita al usuario que inicie sesión con el código de acceso del dispositivo móvil o con el código de acceso de RSA SecurID. La sesión se inicia y está disponible durante cuatro horas. Después de cuatro horas, se solicita al usuario que vuelva a iniciar sesión.
Ejemplo 2 Directiva específica de aplicación web estricta asignada a un grupo
En este ejemplo, se crea una directiva de acceso específica de aplicación y se aplica a una aplicación web extremadamente confidencial. Los miembros del grupo del equipo de ventas pueden acceder a esta aplicación desde cualquier tipo de dispositivo, pero solo por 1 hora antes de que se requiera volver a autenticar.
- El rango de redes es TODOS LOS RANGOS.
- Los usuarios pueden acceder al contenido desde Todos los tipos de dispositivos.
- Los usuarios pertenecen al grupo Equipo de ventas.
- El método de autenticación es RSA SecurID.
- Volver a autenticar la sesión después de 1 hora.
El usuario del equipo de ventas inicia sesión y se autentica según las reglas de directiva de acceso predeterminadas, y puede acceder a los recursos y al portal de la aplicación. El usuario hace clic en la aplicación administrada por la regla de directiva de acceso estricta tal y como se especifica en el ejemplo 2. Se redirige al usuario a la pantalla de inicio de sesión con autenticación RSA SecurID.
Después de que el usuario inicia la sesión correctamente, el servicio inicia la aplicación y guarda el evento de autenticación. El usuario puede seguir iniciando la aplicación sin necesidad de iniciar sesión durante un tiempo máximo de una hora. Después de la hora, se solicita al usuario que vuelva a autenticarse a través de RSA SecurID.