Vous pouvez créer des stratégies d'accès personnalisé pour des applications Web individuelles et de poste de travail qui se trouvent dans le catalogue. Ces stratégies d'accès peuvent limiter l'accès basé sur l'emplacement, le type de périphérique, la méthode d'authentification et la durée de la session. Pour limiter l'accès, vous pouvez associer un groupe spécifique à une règle d'application.

Voici des exemples de stratégies spécifiques à une application Web que vous pouvez créer pour contrôler l'accès aux applications Web spécifiées.

Exemple 1 : stratégie de base spécifique à une application Web attribuée à un groupe

Dans cet exemple, une nouvelle stratégie d'accès spécifique à une application est créée et appliquée aux applications Web auxquelles le groupe Équipe des ventes peut accéder. Deux règles sont appliquées. La première règle est spécifique aux utilisateurs dans le groupe Équipe des ventes qui accèdent à l'application à partir du réseau interne.

La règle pour accéder à partir du réseau interne est configurée comme suit.

  • La plage réseau est RÉSEAU INTERNE.
  • Les utilisateurs peuvent accéder au contenu à partir du Navigateur Web.
  • Les utilisateurs appartiennent au groupe Équipe des ventes.
  • La première méthode d'authentification est Kerberos.
  • La méthode de secours est Mot de passe.
  • Session de nouvelle authentification après 8 heures.

Pour accéder aux applications de l'équipe de vente à partir du réseau interne, un membre du groupe Équipe de vente lance une application à partir d'un navigateur Web et est invité à entrer un nom et un mot de passe Kerberos. Si l'authentification Kerberos échoue, l'utilisateur est invité à entrer le mot de passe Active Directory. La session est disponible pendant huit heures. Au bout de huit heures, l'utilisateur est invité à se connecter à nouveau.

La deuxième règle est appliquée si les utilisateurs dans le groupe Équipe de vente accèdent à l'application à partir d'un site externe via un navigateur Web.

La règle pour accéder à partir d'un site externe est configurée comme suit.

  • La plage réseau est TOUTES LES PLAGES.
  • Les utilisateurs peuvent accéder au contenu à partir du Navigateur Web.
  • Les utilisateurs appartiennent au groupe Équipe des ventes.
  • Les méthodes d'authentification mises en œuvre incluent la possibilité de se connecter avec les périphériques mobiles et depuis un ordinateur.
    • Authentification à l'aide de Mobile SSO (pour iOS).
    • Recours à Mobile SSO (pour Android).
    • Retour à RSA SecurID.
  • Session de nouvelle authentification après 4 heures.

Pour accéder à ces applications depuis l'extérieur du réseau d'entreprise, selon le type de périphérique, l'utilisateur est invité à se connecter avec le code secret du périphérique mobile ou avec le code secret RSA SecurID. La session démarre et est disponible pendant quatre heures. Au bout de quatre heures, l'utilisateur est invité à se connecter à nouveau.

Exemple 2 : stratégie stricte spécifique à une application Web attribuée à un groupe

Dans cet exemple, une stratégie d'accès spécifique à une application est créée et appliquée à une application Web extra sensible. Les membres du groupe de l’équipe des ventes peuvent accéder à cette application à partir de n'importe quel type de périphérique, mais uniquement pendant 1 heure avant que l'authentification soit nécessaire à nouveau.

  • La plage réseau est TOUTES LES PLAGES.
  • Les utilisateurs peuvent accéder au contenu depuis Tous les types de périphériques.
  • Les utilisateurs appartiennent au groupe Équipe des ventes.
  • La méthode d'authentification est RSA SecurID.
  • Session de nouvelle authentification après 1 heure.

L'utilisateur de l’équipe des ventes se connecte et est authentifié selon les règles de stratégie d'accès par défaut et peut accéder au portail d'applications et aux ressources. L'utilisateur clique sur l'application qui est gérée par la règle de stratégie d'accès stricte telle que spécifiée dans l'exemple 2. L'utilisateur est redirigé vers l’écran de connexion d'authentification RSA SecurID.

Une fois que l'utilisateur s'est connecté, le service lance l'application et enregistre l'événement d'authentification. L'utilisateur peut continuer à lancer l'application pendant une heure sans avoir à se connecter. Après une heure, l'utilisateur est invité à s'authentifier à nouveau via RSA SecurID.