Политика содержит одно или несколько правил доступа. Каждое правило имеет параметры, которые можно настраивать для управления доступом пользователей как к порталам приложений, так и к указанным веб-приложениям.

Диапазон сети

Для каждого правила нужно определить пользовательскую базу, указав диапазон сети. Диапазон сети состоит из одного или более диапазонов IP-адресов. Диапазоны сети создаются на вкладке «Управление учетными данными и доступом» страницы «Настройка» > «Диапазоны сети» до настройки наборов политик доступа.

Тип устройства

Выберите тип устройства, которым управляет правило. Возможны следующие типы клиентов: веб-браузер, клиентское приложение Identity Manager, iOS, Android и все типы устройств.

Способы проверки подлинности

Установите приоритет способов проверки подлинности для правила политики. Способы проверки подлинности применяются в порядке их перечисления. Выбираются первые экземпляры поставщика удостоверений, соответствующие способу поверки подлинности, и конфигурация диапазона сети в выбранной политике; запрос проверки подлинности пользователя перенаправляется в экземпляр поставщика удостоверений для проверки подлинности. Если проверка подлинности завершается ошибкой, выбирается следующий способ проверки подлинности по списку. Если используется проверка подлинности с помощью сертификата, этот способ должен быть первым в списке способом проверки подлинности.

Можно настроить правила политики доступа, которые потребуют, чтобы пользователи передавали учетные данные, используя два способа проверки подлинности, прежде чем они могут войти в систему. Если один или оба способа проверки подлинности завершаются отказом и настроены резервные способы, пользователям будет предложено ввести свои учетные данные для следующих настроенных способов проверки подлинности. Следующие два сценария описывают возможные цепочки процессов проверки подлинности.

  • В первом сценарии правило политики доступа настроено на требование проверки подлинности пользователей с использованием их паролей и учетных данных Kerberos. Резервная проверка подлинности настроена на запрос пароля и учетных данных RADIUS для проверки подлинности. Пользователь вводит правильный пароль, но не вводит правильные учетные данные Kerberos для проверки подлинности. Так как пользователь ввел правильный пароль, резервная проверка подлинности запрашивает только учетные данные RADIUS. Пользователю не нужно повторно вводить пароль.

  • Во втором сценарии правило политики доступа настроено на требование проверки подлинности пользователей с использованием их паролей и учетных данных Kerberos. Резервная проверка подлинности настроена на требование RSA SecurID и RADIUS для проверки подлинности. Пользователь вводит правильный пароль, но не вводит правильные учетные данные Kerberos для проверки подлинности. Резервная проверка подлинности настроена на запрос как учетных данных RSA SecurID, так и учетных данных RADIUS для проверки подлинности.

Длительность сеанса проверки подлинности

Для каждого правила устанавливается период времени, в течение которого проверка подлинности является действительной. Значение определяет максимальное количество времени, которое есть у пользователей с момента последнего события проверки подлинности для доступа на портал или запуска определенного веб-приложения. Например, если установлено значение 4 в правиле веб-приложения, то пользователям предоставляется четыре часа, чтобы запустить веб-приложение, пока они не инициировали еще одно событие проверки подлинности, увеличивающее время сеанса.

Пользовательское сообщение об ошибке типа «отказ в доступе»

Если пользователь пытается войти в систему и ему это не удается из-за недействительных учетных данных, неправильной конфигурации или системной ошибки, появляется сообщение об отказе в доступе. Сообщение по умолчанию:

«В доступе отказано, поскольку не был найден ни один действительный метод проверки подлинности».

Можно создать пользовательское сообщение об ошибке для каждого правила политики доступа, которое переопределяет сообщение по умолчанию. Пользовательское сообщение может включать текст и ссылку на сообщение с призывом к действию. Например, если пользователь пытается войти с незарегистрированного устройства, в правилах политики для мобильных устройств, которыми нужно управлять, может появиться следующее пользовательское сообщение об ошибке:

«Щелкните ссылку в конце данного сообщения и зарегистрируйте устройство, чтобы получить доступ к корпоративным ресурсам. Если устройство уже зарегистрировано, обратитесь в службу поддержки».

Пример политики по умолчанию

Следующая политика служит примером настройки политики по умолчанию для управления доступом к порталу приложений. См. раздел Управление политикой доступа пользователей.

Правила политики оцениваются в указанном порядке. Можно изменить порядок политики путем перетаскивания правила в разделе «Правила политики».

В следующем примере использования данная политика применяется ко всем приложениям.

    • Для внутренней сети (внутренний диапазон сети) для правила настроены два способа проверки подлинности: с помощью Kerberos и с помощью пароля в качестве резервного способа. Для доступа к порталу приложений из внутренней сети служба сначала пытается проверить подлинность пользователей с помощью Kerberos, так как этот способ проверки подлинности указан в правиле первым по списку. Если это не удается, пользователям предлагается ввести свой пароль в Active Directory. Пользователи, используя браузер, входят в систему и получают доступ к своим порталам на период восьмичасового сеанса.

    • Для доступа из внешней сети (все диапазоны) настроен только один способ проверки подлинности — RSA SecurID. Для доступа к порталу приложений из внешней сети пользователи должны войти с помощью SecurID. Пользователи, используя браузер, входят в систему и получают доступ к своим порталам приложений на период четырехчасового сеанса.

  1. Когда пользователь пытается получить доступ к ресурсу (за исключением веб-приложений, охватываемых исключением конкретной политики), применяется политика доступа на портал по умолчанию.

    Например, время повторной проверки подлинности для таких ресурсов соответствует времени повторной проверки подлинности правила политики доступа по умолчанию. Если время сеанса для пользователя, который зайдет на портал приложений, составляет восемь часов в соответствии с правилом политики доступа по умолчанию, то когда пользователь пытается запустить ресурс во время действия сеанса, приложение запускается, не требуя от пользователя повторной проверки подлинности.