Una política contiene una o más reglas de acceso. Cada regla consta de configuraciones que se pueden ajustar para administrar el acceso de los usuarios a los portales de la aplicación en su totalidad o a aplicaciones web específicas.

Cada instancia de proveedor de identidades en la implementación de Directories Management vincula rangos de redes con métodos de autenticación. Cuando configure una regla de política, asegúrese de que el rango de redes quede cubierto por una instancia de proveedor de identidades existente.

Rango de redes

Para cada regla, determine la base de usuarios especificando un rango de redes. Un rango de redes está compuesto por uno o varios rangos de IP. Los rangos de redes se crean en la pestaña Administración de acceso e identidades, Configuración > página Rangos de redes antes de configurarse los conjuntos de políticas de acceso.

Tipo de dispositivo

Seleccione el tipo de dispositivo que administra la regla. Los tipos de cliente son Navegador web, Aplicación cliente de Identity Manager, iOS, Android y Todos los tipos de dispositivos.

Métodos de autenticación

Establezca la prioridad de los métodos de autenticación para la regla de política. Los métodos de autenticación se aplican en el orden en que se muestran. Se selecciona la primera instancia de proveedor de identidades que cumple la configuración de método de autenticación y rango de redes de la política y se reenvía la solicitud de autenticación de usuario a la instancia de proveedor de identidades para su autenticación. En caso de error de autenticación, se selecciona el siguiente método de autenticación de la lista. Si se usa la autenticación de certificado, este método debe ser el primero en la lista.

Puede configurar reglas de política de acceso que requieran que los usuarios pasen credenciales mediante dos métodos de autenticación para poder iniciar sesión. Si uno o ambos métodos de autenticación generan errores y también hay configurados métodos de reserva, se solicita a los usuarios que proporcionen sus credenciales para los siguientes métodos de autenticación que estén configurados. En los dos siguientes escenarios, se describe cómo funcionan las cadenas de autenticación.

  • En el primer escenario, se configura la regla de política de acceso para que requiera que los usuarios se autentiquen con su contraseña y con la credencial de Kerberos. Se ha configurado la autenticación de reserva para que solicite la contraseña y la credencial de RADIUS para la autenticación. Un usuario escribe la contraseña correctamente, pero no proporciona la credencial de autenticación Kerberos correcta. Como el usuario escribió la contraseña correcta, la solicitud de autenticación de reserva corresponde solo a la credencial de RADIUS. No es necesario que el usuario vuelva a escribir la contraseña.

  • En el segundo escenario, se configura la regla de política de acceso para que requiera que los usuarios se autentiquen con su contraseña y con la credencial de Kerberos. Se ha configurado la autenticación de reserva para que solicite RSA SecurID y una credencial de RADIUS para la autenticación. Un usuario escribe la contraseña correctamente, pero no proporciona la credencial de autenticación Kerberos correcta. La solicitud de autenticación de reserva es tanto para la credencial de RSA SecurID como para la de RADIUS.

Duración de la sesión de autenticación

Para cada regla, establezca la duración de la validez de esta autenticación. Este valor determina la cantidad máxima de tiempo de la que los usuarios disponen desde el último evento de autenticación para obtener acceso a su portal o iniciar una aplicación web concreta. Por ejemplo, el valor 4 en una regla de aplicación web proporciona a los usuarios cuatro horas para iniciar la aplicación web, a menos que inicien otro evento de autenticación que prolongue la duración.

Ejemplo de política predeterminada

La siguiente política sirve de ejemplo de cómo puede configurar la política predeterminada para controlar el acceso al portal de aplicaciones. Consulte Administrar la política de acceso de usuarios

Las reglas de política se evalúan en el orden en que se muestran. Para cambiar el orden de la política, arrástrela y colóquela en la sección Reglas de política.

En el siguiente caso de uso, este ejemplo de política se aplica a todas las aplicaciones.

    • Para la red interna (Rango de redes internas), se configuran dos métodos de autenticación para la regla: Kerberos y la autenticación con contraseña como método de reserva. Para acceder al portal de aplicaciones desde una red interna, el servicio intenta autenticar a los usuarios en primer lugar con autenticación Kerberos, ya que es el primer método de autenticación mostrado en la regla. Si esto genera un error, se solicita a los usuarios que escriban la contraseña de Active Directory. Los usuarios inician sesión en un navegador y ahora tienen acceso a su portal de aplicaciones durante una sesión de ocho horas.

    • Para el acceso desde la red externa (Todos los rangos), solamente se configura un método de autenticación, RSA SecurID. Para acceder al portal de aplicaciones desde una red externa, es necesario que los usuarios inicien sesión con SecurID. Los usuarios inician sesión en un navegador y ahora tienen acceso a su portal de aplicaciones durante una sesión de cuatro horas.

  1. Cuando un usuario intenta acceder a un recurso, excepto las aplicaciones web cubiertas por una política específica para aplicaciones web, se aplica la política predeterminada de acceso al portal.

    Por ejemplo, el tiempo de reautenticación para estos recursos coincide con el de la regla de la política de acceso predeterminada. Si el tiempo para un usuario que inicia sesión en el portal de aplicaciones es ocho horas según la regla de la política de acceso predeterminada, cuando intente iniciar un recurso durante la sesión, se inicia la aplicación sin necesidad de que se reautentique.