Можно создать настраиваемые политики доступа для классических и веб-приложений, которые находятся в каталоге. Эти политики доступа могут ограничивать доступ на основе расположения, типа устройства, метода проверки подлинности и длительности сеанса. Чтобы ограничить доступ, можно связать определенную группу с правилом приложения.

Ниже приведены примеры политик веб-приложения, которые можно создать, чтобы контролировать доступ к определенным веб-приложениям.

Пример 1. Группе присвоена базовая политика только для веб-приложений

В этом примере создается новая политика доступа для приложений, применяемая к веб-приложениям, к которым группа «Команда по продажам» может получить доступ. Применяется два правила. Первое правило применяется к пользователям в группе «Команда по продажам», которые получают доступ к приложению из внутренней сети.

Правило для доступа из внутренней сети настроено следующим образом.

  • Для сетевого диапазона указано ВНУТРЕННЯЯ СЕТЬ.

  • Пользователи могут получить доступ к содержимому из веб-браузера.

  • Пользователи относятся к группе Команда по продажам.

  • Первый метод проверки подлинности — это Kerberos.

  • Резервный метод — это Пароль.

  • Повторная проверка подлинности сеанса осуществляется через 8 часов.

Чтобы получить доступ к приложениям команды по продажам из внутренней сети, участнику этой группы нужно запустить приложение в веб-браузере, а затем в ответ на запрос ввести имя и пароль Kerberos. Если проверка подлинности Kerberos завершается сбоем, пользователю предлагается ввести пароль Active Directory. Сеанс будет доступен на протяжении восьми часов. По истечении восьми часов пользователю будет предложено войти повторно.

Второе правило применяется, если пользователи в группе «Команда по продажам» получают доступ к приложению через браузер из внешнего сайта.

Правило для доступа из внешнего сайта настроено следующим образом.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.

  • Пользователи могут получить доступ к содержимому из веб-браузера.

  • Пользователи относятся к группе Команда по продажам.

  • Реализованные методы проверки подлинности включают возможность выполнять вход с мобильных устройств и с компьютера.

    • Выполнение аутентификации с использованием метода Единый вход для мобильных устройств (iOS).

    • Резервный метод — Единый вход на мобильных устройствах (с Android).

    • Резервный метод — RSA SecurID.

  • Повторная проверка подлинности сеанса осуществляется через 4 часа.

Чтобы получить доступ к этим приложениям из-за пределов корпоративной сети, в зависимости от типа устройства пользователю требуется войти в систему с помощью секретного кода мобильного устройства или секретного кода RSA SecurID. Сеанс начинается и доступен в течение четырех часов. По истечении четырех часов пользователю будет предложено войти повторно.

Пример 2. Группе присвоена строгая политика только для веб-приложений

В этом примере создается политика доступа для приложений, которая применяется к веб-приложениям с повышенной конфиденциальностью. Участники группы команды по продажам могут получить доступ к этому приложению с любого типа устройства, но только на 1 час, затем им нужно пройти повторную проверку подлинности.

  • Для сетевого диапазона указано ВСЕ ДИАПАЗОНЫ.

  • Пользователи могут получить доступ к содержимому со всех типов устройств.

  • Пользователи относятся к группе Команда по продажам.

  • Метод проверки подлинности — RSA SecurID.

  • Повторная проверка подлинности сеанса осуществляется через 1 час.

Пользователь группы «Команда по продажам» входит и выполняет проверку подлинности на основе политики доступа по умолчанию, а также может получить доступ к порталу приложений и ресурсам. Пользователь выбирает приложение, для которого настроено правило строгой политики доступа, как указано в примере 2. Пользователь перенаправляется на экран входа с проверкой подлинности с использованием RSA SecurID.

После того как пользователь успешно входит в систему, служба запускает приложение и сохраняет событие проверки подлинности. Пользователь может запускать приложение, не выполняя вход в него, в течение одного часа. По истечении часа пользователю будет предложено выполнить повторную проверку подлинности с помощью RSA SecurID.