原則包含一或多個存取規則。每個規則由多個設定組成,您可以進行這些設定來管理對整個應用程式入口網站的使用者存取權,或是對特定 Web 應用程式的使用者存取權。

Directories Management 部署中的每個身分識別提供者執行個體連結網路範圍與驗證方法。設定原則規則時,確保現有身分識別提供者執行個體涵蓋網路範圍。

網路範圍

對於每個規則,您均可透過指定網路範圍決定使用者基礎。網路範圍由一或多個 IP 範圍組成。您可以在設定存取原則集前,從 [身分識別和存取管理] 索引標籤的 [設定] > [網路範圍] 頁面建立網路範圍。

裝置類型

選取規則管理的裝置類型。用戶端類型為網頁瀏覽器、Identity Manager 用戶端應用程式、iOS、Android 和所有裝置類型。

驗證方法

設定原則規則的驗證方法優先順序。驗證方法會按照其列出的順序進行套用。已選取首個滿足原則中驗證方法和網路範圍組態的身分識別提供者執行個體,使用者驗證申請已轉送至身分識別提供者執行個體以進行驗證。如果驗證失敗,則會選取清單中的下一個驗證方法。如果使用憑證驗證,則此方法必須為清單中的首個驗證方法。

您可以設定存取原則規則,以要求使用者在登入前通過兩種驗證方法的認證。如果一或兩個驗證方法失敗,且後援方法已設定,系統會提示使用者輸入其認證以進行設定的下一個驗證方法。下列兩個案例說明驗證鏈結如何工作。

  • 在第一個案例中,存取原則規則設定為需要使用者使用其密碼及其 Kerberos 認證進行驗證。後援驗證設定為需要密碼和 RADIUS 認證,以進行驗證。使用者可輸入正確的密碼,但無法輸入正確的 Kerberos 驗證認證。由於使用者輸入了正確的密碼,因此後援驗證申請僅針對 RADIUS 認證。使用者無需重新輸入密碼。

  • 在第二個案例中,存取原則規則設定為需要使用者使用其密碼及其 Kerberos 認證進行驗證。後援驗證設定為需要 RSA SecurID 和 RADIUS,以進行驗證。使用者輸入了正確的密碼,但無法輸入正確的 Kerberos 驗證認證,則後援驗證申請同時針對 RSA SecurID 認證和 RADIUS 認證進行驗證。

驗證工作階段長度

對於每個規則,您可以設定此驗證的有效長度。該值會決定使用者從上次驗證事件起用於存取其入口網站或啟動特定 Web 應用程式的時間上限。例如,Web 應用程式規則中的值為 4,會給予使用者四小時啟動 Web 應用程式,除非起始延長時間的其他驗證事件。

預設原則範例

下列原則做為範例,顯示如何設定預設原則,以控制對應用程式入口網站的存取權。請參閱管理使用者存取原則

會按列出的順序評估原則規則。您可以透過在 [原則規則] 區段中拖放規則,來變更原則順序。

在下列使用案例中,此原則範例會套用至所有應用程式。

    • 對於內部網路 (內部網路範圍),針對規則設定了兩種驗證方法,Kerberos 為首個驗證方法,密碼驗證為後援方法。若要從內部網路存取應用程式入口網站,服務會先嘗試使用 Kerberos 驗證來驗證使用者,因為它是規則中列出的首個驗證方法。如果失敗,系統會提示使用者輸入 Active Directory 密碼。使用者使用瀏覽器登入,現在可存取其使用者入口網站的八小時工作階段。

    • 對於來自外部網路 (所有範圍) 的存取,僅可設定 RSA SecurID 一種驗證方法。若要從外部網路存取應用程式入口網站,使用者需要使用 SecurID 登入。使用者使用瀏覽器登入,現在可存取其應用程式入口網站的四小時工作階段。

  1. 使用者嘗試存取資源時,會套用預設入口網站存取原則,Web 應用程式特定原則涵蓋的 Web 應用程式除外。

    例如,此類資源的重新驗證時間與預設存取原則規則的重新驗證時間相符。如果根據預設存取原則規則,使用者登入應用程式入口網站的時間為八小時,當使用者嘗試在工作階段期間啟動資源時,應用程式會啟動,無需使用者重新驗證。