U kunt voor elke individuele web- en desktopapplicatie uit de catalogus een aangepast toegangsbeleid maken. Dergelijk toegangsbeleid kan de toegang beperken op basis van locatie, apparaattype, verificatiemethode en sessielengte. Om toegang te beperken, kunt u een specifieke groep koppelen aan een applicatieregel.
Hieronder vindt u voorbeelden van een beleid, specifiek voor webapplicaties, dat u kunt maken om de toegang tot specifieke webapplicaties te controleren.
Voorbeeld 1: fundamenteel beleid, specifiek voor webapplicaties, dat is toegewezen aan een groep
In dit voorbeeld wordt een nieuw toegangsbeleid specifiek voor applicaties gemaakt en toegepast op webapplicaties waartoe de groep Sales Team toegang heeft. Twee regels worden toegepast. De eerste regel is specifiek voor gebruikers van de groep Sales Team die de applicatie benaderen vanaf het interne netwerk.
De regel voor toegang vanaf het interne netwerk wordt als volgt geconfigureerd.
- Netwerkbereik is INTERNE NETWERK.
- Gebruikers kunnen toegang krijgen tot de inhoud vanaf de Webbrowser.
- Gebruikers maken deel uit van de groep Sales Team.
- Eerste verificatiemethode is Kerberos.
- Alternatief is Wachtwoord.
- Sessie opnieuw verifiëren na 8 uur.
Om de applicaties van het verkoopteam te benaderen vanaf het interne netwerk, start een lid van de groep Sales Team een applicatie in een webbrowser. Hij/zij wordt gevraagd een naam en een Kerberos-wachtwoord in te voeren. Als de Kerberos-verificatie mislukt, wordt de gebruiker gevraagd het Active Directory-wachtwoord in te voeren. De sessie is gedurende acht uur beschikbaar. Na acht uur wordt de gebruiker gevraagd zich opnieuw aan te melden.
De tweede regel wordt toegepast als gebruikers van de groep Sales Team de applicatie benaderen via een webbrowser vanaf een externe site.
De regel voor toegang vanaf een externe site wordt als volgt geconfigureerd.
- Het netwerkbereik is ALLE BEREIKEN.
- Gebruikers kunnen toegang krijgen tot de inhoud vanaf de Webbrowser.
- Gebruikers maken deel uit van de groep Sales Team.
- Geïmplementeerde verificatiemethoden zijn o.a. de mogelijkheid om zich aan te melden met mobiele apparaten en vanaf een computer.
- Verifiëren met behulp van Mobiele SSO (voor iOS).
- Alternatief is Mobiele SSO (voor Android).
- Alternatief is RSA SecurID.
- Sessie opnieuw verifiëren na 4 uur.
Om toegang te krijgen tot deze applicaties van buiten het bedrijfsnetwerk, en afhankelijk van het type apparaat, dient de gebruiker zich aan te melden met de toegangscode van het mobiele apparaat of met de RSA SecurID-toegangscode. De sessie wordt gestart en is gedurende vier uur beschikbaar. Na vier uur wordt de gebruiker gevraagd zich opnieuw aan te melden.
Voorbeeld 2: streng beleid, specifiek voor webapplicaties, dat is toegewezen aan een groep
In dit voorbeeld wordt een toegangsbeleid specifiek voor applicaties gemaakt en toegepast op een uiterst gevoelige webapplicatie. Leden van de groep Sales Team kunnen deze applicatie benaderen van een willekeurig type apparaat, maar dienen reeds na 1 uur opnieuw te verifiëren.
- Het netwerkbereik is ALLE BEREIKEN.
- Gebruikers kunnen de inhoud benaderen vanaf Alle apparaattypen.
- Gebruikers maken deel uit van de groep Sales Team.
- Verificatiemethode is RSA SecurID.
- Sessie opnieuw verifiëren na 1 uur.
De gebruiker van de groep Sales Team meldt zich aan en wordt geverifieerd op basis van de standaardtoegangsbeleidsregels. Hij/zij heeft toegang tot de applicatieportal en resources. De gebruiker klikt op de app die wordt beheerd door de strikte toegangsbeleidsregel zoals opgegeven in het voorbeeld 2. De gebruiker wordt omgeleid naar de aanmeldingspagina van RSA SecurID-verificatie.
Nadat de gebruiker zich heeft aangemeld, wordt de applicatie door de service gestart en wordt de verificatiegebeurtenis opgeslagen. Gedurende één uur kan de gebruiker de applicatie opnieuw starten zonder zich te moeten aanmelden. Na het uur wordt de gebruiker gevraagd opnieuw te verifiëren via RSA SecurID.