Un criterio contiene una o più regole di accesso. Ciascuna regola è costituita da impostazioni che è possibile configurare per gestire l'accesso degli utenti ai propri portali di applicazioni nel loro insieme o solo ad applicazioni Web specificate.

Intervallo di rete

Per ogni regola, si determina la base degli utenti specificando un intervallo di rete. Un intervallo di rete è costituito da uno o più intervalli IP. Gli intervalli di rete vengono creati dalla scheda Gestione accesso e identità della pagina Impostazione > Intervalli di rete prima di configurare i set dei criteri di accesso.

Tipo di dispositivo

Selezionare il tipo di dispositivo gestito dalla regola. I tipi di client sono browser Web, l'app Identity Manager Client, iOS, Android e Tutti i tipi di dispositivi.

Metodi di autenticazione

Impostare la priorità dei metodi di autenticazione per la regola dei criteri. I metodi di autenticazione vengono applicati nell'ordine in cui sono elencati. Viene selezionata la prima istanza del provider di identità che soddisfa la configurazione del metodo di autenticazione e dell'intervallo di rete nel criterio e la richiesta di autenticazione dell'utente viene inoltrata all'istanza del provider di identità per l'autenticazione. Se l'autenticazione non riesce, viene selezionato il metodo di autenticazione successivo nell'elenco. Se si utilizza l'autenticazione Certificato, questo metodo deve essere il primo metodo di autenticazione nell'elenco.

È possibile configurare le regole dei criteri di accesso in modo che gli utenti debbano passare le credenziali tramite due metodi di autenticazione per poter eseguire l'accesso. Se uno o entrambi i metodi di autenticazione restituiscono un errore e sono configurati anche i metodi di fallback, agli utenti viene richiesto di immettere le proprie credenziali per i successivi metodi di autenticazione configurati. I due scenari seguenti descrivono come funziona il concatenamento delle autenticazioni.

  • Nel primo scenario la regola dei criteri di accesso viene configurata in modo da richiedere agli utenti di autenticarsi con la propria password e con le credenziali Kerberos. L'autenticazione di fallback viene impostata per richiedere la password e le credenziali RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere le credenziali di autenticazione Kerberos corrette. Poiché l'utente ha immesso la password corretta, la richiesta di autenticazione di fallback si riferisce solo alle credenziali RADIUS. L'utente non deve immettere di nuovo la password.

  • Nel secondo scenario la regola dei criteri di accesso viene configurata in modo da richiedere agli utenti di autenticarsi con la propria password e con le credenziali Kerberos. L'autenticazione di fallback è impostata per richiedere le credenziali RSA SecurID e RADIUS per l'autenticazione. Un utente immette la password correttamente, ma non riesce a immettere le credenziali di autenticazione Kerberos corrette. La richiesta di autenticazione di fallback si riferisce sia alle credenziali RSA SecurID sia alle credenziali RADIUS per l'autenticazione.

Durata della sessione di autenticazione

Per ogni regola è possibile impostare il periodo di validità dell'autenticazione. Il valore determina la quantità di tempo massima di cui gli utenti dispongono dopo l'ultimo evento di autenticazione per accedere al proprio portale o per avviare un'applicazione Web specifica. Ad esempio, il valore 4 nella regola di un'applicazione Web offre agli utenti quattro ore per avviare l'applicazione Web, a meno che non inizializzino un altro evento di autenticazione che estende il tempo.

Messaggio di errore personalizzato di accesso negato

Quando gli utenti tentano di accedere, invano, a causa di credenziali non valide, errore di configurazione o di sistema, viene visualizzato un messaggio di accesso negato. Il messaggio predefinito è

Accesso negato non essendo stato trovato alcun metodo di autenticazione valido.

È possibile creare un messaggio d'errore personalizzato per ogni regola di criterio di accesso che sovrascrive il messaggio predefinito. Il messaggio personalizzato può comprendere testo e un collegamento a un messaggio che invita a eseguire un'azione. Ad esempio nelle regole per un criterio per i dispositivi mobili che si desidera gestire, se un utente tenta di accedere da un dispositivo non registrato, potrebbe apparire il seguente messaggio d'errore personalizzato:

Registrare il dispositivo per accedere alle risorse aziendali facendo clic sul collegamento alla fine di questo messaggio. Se il dispositivo è già registrato, contattare il supporto per assistenza.

Esempio di criterio predefinito

Il criterio seguente è un esempio di come sia possibile configurare il criterio predefinito per controllare l'accesso al portale delle app. Vedere Gestione del criterio di accesso utente.

Le regole dei criteri vengono valutate nell'ordine in cui sono elencate. È possibile modificare l'ordine del criterio trascinando e rilasciando la regola nella sezione Regole dei criteri.

Nel caso di utilizzo seguente l'esempio di criterio è valido per tutte le applicazioni.

    • Per la rete interna (Intervallo di rete interna), vengono configurati due metodi di autenticazione per la regola, Kerberos e autenticazione tramite password come metodo di fallback. Per accedere al portale delle app da una rete interna, il servizio prova innanzitutto ad autenticare gli utenti con l'autenticazione Kerberos, poiché si tratta del primo metodo di autenticazione elencato nella regola. Se l'operazione non riesce, agli utenti viene chiesto di immettere la propria password di Active Directory. Gli utenti accedono utilizzando un browser e possono accedere ai propri portali utente per una sessione di otto ore.

    • Per l'accesso dalla rete esterna (Tutti gli intervalli), è configurato un solo metodo di autenticazione, ovvero RSA SecurID. Per accedere al portale delle app da una rete esterna, gli utenti devono accedere con SecurID. Gli utenti accedono utilizzando un browser e possono accedere ai propri portali delle app per una sessione di quattro ore.

  1. Quando un utente tenta di accedere a una risorsa, tranne che per le applicazioni Web coperte da un criterio specifico delle applicazioni Web, viene applicato il criterio di accesso al portale predefinito.

    Ad esempio, l'intervallo di tempo per la riautenticazione di queste risorse corrisponde all'intervallo di tempo per la riautenticazione della regola del criterio di accesso predefinita. Se l'intervallo di tempo per un utente che accede al portale delle app è otto ore in base alla regola del criterio di accesso predefinita, quando l'utente tenta di avviare una risorsa durante la sessione, l'applicazione viene avviata senza richiedere la riautenticazione dell'utente.