Een beleid bevat een of meer toegangsregels. Elke regel bestaat uit instellingen die u kunt configureren voor het beheer van gebruikerstoegang tot toepassingsportals als geheel of tot opgegeven webtoepassingen.

Elke identiteitsproviderinstantie in uw Directories Management-implementatie koppelt netwerkbereiken aan verificatiemethoden. Wanneer u een beleidsregel configureert, zorgt u ervoor dat het netwerkbereik wordt gedekt door een bestaande identiteitsproviderinstantie.

Netwerkbereik

U bepaalt de gebruikersbasis voor elke regel door een netwerkbereik op te geven. Een netwerkbereik bestaat uit een of meer IP-bereiken. U maakt netwerkbereiken op het tabblad Identiteits- en toegangsbeheer op de pagina Installatie > Netwerkbereiken voordat u toegangsbeleidssets configureert.

Apparaattype

Selecteer het type apparaat dat de regel beheert. De clienttypen zijn Webbrowser, Clientapp voor identiteitsbeheer, iOS, Android en Alle apparaattypen.

Verificatiemethoden

Stel de prioriteit van de verificatiemethoden voor de beleidsregel in. De verificatiemethoden worden toegepast in de volgorde waarin ze worden weergegeven. De eerste identiteitsproviderinstantie die voldoet aan de verificatiemethode en de netwerkbereikconfiguratie in het beleid, wordt geselecteerd, en de gebruikersverificatieaanvraag wordt naar de identiteitsproviderinstantie doorgestuurd voor verificatie. Als de verificatie mislukt, wordt de volgende verificatiemethode in de lijst geselecteerd. Als certificaatverificatie wordt gebruikt, moet deze methode de eerste verificatiemethode in de lijst zijn.

U kunt toegangsbeleidsregels configureren om te eisen dat gebruikers verificatiegegevens via twee verificatiemethoden opgeven voordat ze zich kunnen aanmelden. Als een of beide verificatiemethoden mislukken en er ook alternatieve methoden zijn geconfigureerd, dan worden de gebruikers gevraagd om hun verificatiegegevens in te voeren voor de volgende verificatiemethoden die zijn geconfigureerd. De volgende twee scenario's beschrijven hoe verificatieketens werken.

  • In het eerste scenario is de toegangsbeleidsregel geconfigureerd zodat gebruikers verificatie moeten uitvoeren met hun wachtwoord en hun Kerberos-verificatiegegevens. Alternatieve verificatie wordt ingesteld om het wachtwoord en de RADIUS-verificatiegegevens te vereisen voor verificatie. Een gebruiker voert het wachtwoord correct in, maar voert niet de juiste Kerberos-verificatiegegevens in. Omdat de gebruiker het juiste wachtwoord heeft ingevoerd, geldt de alternatieve verificatieaanvraag alleen voor de RADIUS-verificatiegegevens. De gebruiker moet het wachtwoord niet opnieuw invoeren.

  • In het tweede scenario is de toegangsbeleidsregel geconfigureerd zodat gebruikers verificatie moeten uitvoeren met hun wachtwoord en hun Kerberos-verificatiegegevens. Alternatieve verificatie wordt ingesteld om RSA SecurID en een RADIUS te vereisen voor verificatie. Een gebruiker voert het wachtwoord correct in, maar voert niet de juiste Kerberos-verificatiegegevens in. De alternatieve verificatieaanvraag geldt zowel voor de RSA SecurID-verificatiegegevens als voor de RADIUS-verificatiegegevens.

Lengte van verificatiesessie

Voor elke regel stelt u de lengte in waarin deze verificatie geldig is. De waarde bepaalt de maximale hoeveelheid tijd waarover gebruikers sinds hun laatste verificatiegebeurtenis beschikken om toegang te krijgen tot hun portaal of om een specifieke webtoepassing te starten. Een waarde van 4 in een webtoepassingsregel bijvoorbeeld geeft gebruikers vier uur tijd om de webtoepassing te starten tenzij ze een andere verificatiegebeurtenis starten die de tijd verlengt.

Voorbeeld van standaardbeleid

Het volgende beleid dient als voorbeeld van hoe u het standaardbeleid kunt configureren voor het beheer van toegang tot de toepassingsportal. Zie Het toegangsbeleid voor gebruikers beheren.

De beleidsregels worden geëvalueerd in de weergegeven volgorde. U kunt de volgorde van het beleid wijzigen door de regel in de sectie Beleidsregels te slepen en neer te zetten.

In de volgende use case wordt dit beleidsvoorbeeld gebruikt voor alle toepassingen.

    • Voor het interne netwerk (intern netwerkbereik) worden twee verificatiemethoden geconfigureerd voor de regel, namelijk Kerberos en wachtwoordverificatie als de alternatieve methode. Om toegang tot het portaal met apps te krijgen vanaf een intern netwerk, probeert de service eerst gebruikers te verifiëren met Kerberos-verificatie, omdat dit de eerste verificatiemethode is die in de regel wordt weergegeven. Als dit mislukt, worden de gebruikers gevraagd om hun Active Directory-wachtwoord in te voeren. Gebruikers melden zich aan met een browser en hebben nu toegang tot hun gebruikersportalen voor een sessie van acht uur.

    • Voor toegang vanaf het externe netwerk (alle bereiken) wordt slechts één verificatiemethode geconfigureerd, namelijk RSA SecurID. Om toegang tot het portaal met apps te krijgen vanaf een extern netwerk, moeten gebruikers zich aanmelden met SecurID. Gebruikers melden zich aan met een browser en hebben nu toegang tot hun portalen met apps voor een sessie van vier uur.

  1. Als een gebruiker toegang probeert te krijgen tot een bron, behalve voor webtoepassingen die worden gedekt door een webtoepassingsspecifiek beleid, is het standaardportaaltoegangsbeleid van toepassing.

    De tijd voor herverificatie voor dergelijke bronnen bijvoorbeeld komt overeen met de tijd voor herverificatie van de beleidsregel voor standaardtoegang. Als de tijd voor een gebruiker die zich bij het portaal met apps aanmeldt, acht uur is volgens de standaardtoegangsbeleidsregel, en de gebruiker probeert een bron te starten tijdens de sessie, dan wordt de toepassing opgestart zonder dat de gebruiker zich opnieuw moet verifiëren.