Une stratégie contient une ou plusieurs règles d'accès. Chaque règle est composée de paramètres que vous pouvez configurer afin de gérer l'accès des utilisateurs à leurs portails d'application de façon globale ou à des applications Web spécifiées.

Plage réseau

Pour chaque règle, vous déterminez la base d'utilisateurs en spécifiant une plage réseau. Une plage réseau est composée d'une ou de plusieurs plages d'adresses IP. Vous pouvez créer des plages réseau depuis l'onglet Gestion des identités et des accès, Configuration > Plages réseau avant de configurer les ensembles de stratégies d'accès.

Type de périphérique

Sélectionnez le type de périphérique géré par la règle. Les types de clients sont : navigateur Web, l'application Identity Manager Client, iOS, Android et Tous les types de périphériques.

Méthodes d'authentification

Définissez la priorité des méthodes d'authentification pour la règle de stratégie. Les méthodes d'authentification sont appliquées dans l'ordre où elles sont répertoriées. La première instance du fournisseur d'identité qui répond à la méthode d'authentification et à la configuration de la plage réseau de la stratégie est sélectionnée, et la demande d'authentification de l'utilisateur est transmise à l'instance du fournisseur d'identité pour authentification. Si l'authentification échoue, la méthode d'authentification suivante dans la liste est sélectionnée. Si l'authentification par certificat est utilisée, cette méthode d'authentification doit être la première de la liste.

Vous pouvez configurer des règles de stratégie d'accès pour exiger que les utilisateurs fournissent des informations d'identification via deux méthodes d'authentification avant de pouvoir se connecter. Si une méthode d'authentification, ou les deux, échoue et que des méthodes de secours sont également configurées, les utilisateurs sont invités à entrer leurs informations d'identification pour les méthodes d'authentification configurées suivantes. Les deux scénarios suivants décrivent comment le chaînage d'authentification peut fonctionner.

  • Dans le premier scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et avec leurs informations d'identification Kerberos. L'authentification de secours est configurée pour exiger le mot de passe et les informations d'identification RADIUS pour l'authentification. Un utilisateur entre le mot de passe correctement, mais ne parvient pas à entrer les bonnes informations d'identification Kerberos. Comme l'utilisateur a entré le mot de passe correct, la demande d'authentification de secours ne concerne que les informations d'identification RADIUS. L'utilisateur n'a pas besoin d'entrer de nouveau le mot de passe.

  • Dans le second scénario, la règle de stratégie d'accès est configurée pour exiger que les utilisateurs s'authentifient avec leur mot de passe et avec leurs informations d'identification Kerberos. L'authentification de secours est configurée pour exiger RSA SecurID et RADIUS pour l'authentification. Un utilisateur entre le mot de passe correctement, mais ne parvient pas entrer les bonnes informations d'identification Kerberos. La demande d'authentification de secours concerne les informations d'identification RSA SecurID et RADIUS pour l'authentification.

Durée de la session d'authentification

Pour chaque règle, vous définissez la durée pendant laquelle l'authentification est valide. La valeur détermine la période maximale dont disposent les utilisateurs depuis leur dernier événement d'authentification pour accéder à leur portail ou pour lancer une application Web spécifique. Par exemple, une valeur de 4 dans une règle d'application Web donne aux utilisateurs quatre heures pour lancer l'application Web sans devoir initier un autre événement d'authentification qui étend la durée.

Message d'erreur d'accès refusé personnalisé

Lorsque des utilisateurs tentent de se connecter, mais échouent à cause d'informations d'identification non valides, d'une configuration incorrecte ou d'une erreur système, un message d'accès refusé s'affiche. Le message par défaut est

Accès refusé, car aucune méthode d'authentification valide n'a été trouvée.

Vous pouvez créer un message d'erreur personnalisé pour chaque règle de stratégie d'accès qui remplace le message par défaut. Le message personnalisé peut comporter du texte et un lien pour un message d'appel à l'action. Par exemple, dans une règle de stratégie pour des périphériques mobiles que vous voulez gérer, si un utilisateur essaie de se connecter à partir d'un périphérique désinscrit, le message d'erreur personnalisé suivant peut s’afficher :

Inscrivez votre périphérique pour accéder à des ressources d'entreprise en cliquant sur le lien à la fin de ce message. Si votre périphérique est déjà inscrit, contactez le support pour obtenir de l'aide.

Exemple de stratégie par défaut

La stratégie suivante est un exemple de configuration de la stratégie par défaut pour contrôler l'accès au portail d'applications. Reportez-vous à Gérer la stratégie d'accès de l'utilisateur.

Les règles de stratégie sont évaluées dans l'ordre indiqué. Vous pouvez modifier l'ordre de la stratégie en effectuant un Glisser-déposer de la règle dans la section Règles de stratégie.

Dans le cas d'utilisation suivant, cet exemple de stratégie s'applique à toutes les applications.

    • Pour le réseau interne (plage de réseau interne), deux méthodes d'authentification sont configurées pour la règle, l'authentification Kerberos et par mot de passe, comme méthode de secours. Pour accéder au portail d'applications depuis un réseau interne, le service tente d'authentifier les utilisateurs d'abord avec l'authentification Kerberos, car il s'agit de la première méthode d'authentification répertoriée dans la règle. Si cela échoue, les utilisateurs sont invités à entrer leur mot de passe Active Directory. Les utilisateurs se connectent à l'aide d'un navigateur et ont maintenant accès à leurs portails utilisateur pendant une session de huit heures.

    • Pour l'accès depuis le réseau externe (Toutes les plages), une seule méthode d'authentification est configurée, RSA SecurID. Pour accéder au portail d'applications depuis un réseau externe, les utilisateurs doivent se connecter avec SecurID. Les utilisateurs se connectent à l'aide d'un navigateur et ont maintenant accès à leurs portails d'applications pendant une session de quatre heures.

  1. Lorsqu'un utilisateur tente d'accéder à une ressource (sauf s'il s'agit d'applications Web couvertes par une stratégie spécifique à une application Web), la stratégie d'accès au portail par défaut s'applique.

    Par exemple, la durée de ré-authentification pour ces ressources correspond à la durée de ré-authentification de la règle de stratégie d'accès par défaut. Si la durée pour un utilisateur qui se connecte au portail d'applications est de huit heures conformément à la règle de stratégie d'accès par défaut, lorsque l'utilisateur tente de lancer une ressource pendant la session, l'application se lance sans demander à l'utilisateur de s'authentifier à nouveau.