创造测试环境

步骤 1 - 请用您的管理员帐户登入至 Access Control 管理控制台，

https://ap.ssso.hdems.com/admin/您的网域

步骤 2 -  在存取原则群组点击新的存取原则群组。

步骤 3 - 输入存取原则群组详细资料

请根据范本如下输入存取原则群组详细资料。

请命名新建存取原则群组为「Test Policy Group」。

请在「允许存取的条件」输入您的公司网络 IP 地址如「ip4:xxx.xxx.xxx.xxx」. 请注意在范本裡的 「111.111.111.111｣只是供参考用途，不要输入。加入 「has_pass:true」以便拥有通行证用户能够登入系统即使不是处在您的公司网络。

请在「变更 OTP 密码的条件」, 「变更 OTP 通知电子邮件的条件」，「进入 Secure Brwoser 控制台的条件」，输入 「login_name:test」以便用户名「test」拥有权力配置 OTP 设定， OTP Notification Email Settings 和 Secure Browser Control Panel。「false」是为了确保只有用户名「test」拥有权力配置。

步骤 4 - 把已存在的其中一个用户分配至 「Test Policy Group」

点击「编辑」更改已存在的其中一个用户如下：

在「存取原则群组」，选择刚新增的「Test Policy Group」，然后点击「送出」。

步骤 5 - 配置通行证發行条件

点入「网域设定」，然后到 「其它设定」后点入「编辑」。

选择「启用」并输入「ip4:111.111.111.111｣。 点击「送出」。

创造了新的「存取原则群组」和用户「test」后，您已准备好进行实际测试。

Access Control 测试 (存取原则群组)

A1. 在公司网络外和没有通行证的用户能够登入云端服务吗？

答案是「不可以」，因为根据「Test Policy Group」，用户如不在公司网络内和没有通行证的情况下是不被允许登入的。

步骤 1 - 连接至公司外的网络.

在此测试，范本公司网络为「111.111.111.111｣，请连接至任何 「111.111.111.111｣以外的网络。

步骤 2 - 登入至任何云端服务，例如，Access Control User Console

https://ap.ssso.hdems.com/sso/您的网域/login

您将会被禁止登入因为「Test Policy Group」申明只有在公司网络内的用户或拥有通行证者允许登入。

A2.  在公司网络外和拥有通行证的用户能够登入云端服务吗？

答案是「可以」，因为根据「Test Policy Group」，用户如不在公司网络内但拥有通行证的情况下是被允许登入的。

步骤 1 - 连接至公司网络。

在此测试，范本公司网络为「111.111.111.111｣，请连接至「111.111.111.111｣。

步骤 2 - 登入至任何云端服务然后被给予通行证。

例如，Access Control 用户控制台 https://ap.ssso.hdems.com/sso/您的网域/login

每当用户成功登入服务，系统将给予通行证至用户的浏览器以便该用户能够登入云端服务即使用户不是处于公司网络内。另外，您也可以设置通行证的寿命至您想要的时间。在此测试通行证的寿命是7天。

步骤 3 - 连接至公司外的网络。

在此测试，范本公司网络为「111.111.111.111｣，请连接至任何「111.111.111.111｣以外的网络。

步骤 4 - 登入至任何云端服务。

这次您应会成功地登入虽然您不在公司网络裡，因为您的浏览器存有通行证。

A3. 在公司网络外和拥有通行证的用户能够直接登入云端服务而不被要求输入OTP吗？

答案是「可以」，因为根据 「Test Policy Group」，用户如要登入系统而不在公司网络内但拥有通行证的情况是不会被要求输入OTP。

步骤 1 - 连接至公司外的网络。

步骤 2 - 登入至任何云端服务。

您将会被允许直接登入若您符合以下其中一项条件：

1）处在公司网络内 或 2）拥有通行证

因为测试用户已被登入所以测试用户应存有通行证, 所以您将不会被要求输入OTP可直接登入至系统内。

注意如果「Test Policy Group」是这样配置的话:

如果「has_pass:true」被换成「false」如上, 被允许直接登入而不被要求输入OTP的唯一条件是连接至公司的网络。

A4. 用户是否可以存取OTP的设置界面吗？

答案是「可以」，因为根据「Test Policy Group」，用户「test」拥有存取OTP的设置界面的特殊权限 (login_name:test)。 

登入至 Access Control 用户控制台 https://ap.ssso.hdems.com/sso/您的网域/login

因为「Test Policy Group」已被设置成如下，所以用户「test」拥有存取OTP的设置介面的特殊权限。

登入之后，您将可以看见「OTP(一次性密码)设定」在用户控制台界面裡。

点入「OTP(一次性密码)设定」, 您将进入OTP设置界面。

A5. 用户是否可以更改OTP接收电邮地址吗？

答案是「可以」，因为根据「Test Policy Group」，用户「test」拥有更改OTP接收电邮地址的特殊权限 (login_name:test)。

登入至 Access Control 用户控制台

因为「Test Policy Group」已被设置成如下，所以用户「test」拥有更改OTP接收电邮地址的特殊权限。

登入之后，您将可以看见「OTP(一次性密码)设定」在用户控制台界面裡。

点入「OTP(一次性密码)设定」，您将进入OTP设置界面。

注意如果「Test Policy Group」是这样配置的话:

这代表没有任何一个用户拥有权限在用户控制台界面裡存取「OTP(一次性密码)设定」。

用户控制台界将会变成:

A6. 用户是否可以存取HENNGE Secure Browser settings的设置界面吗？

答案是「可以」，因为根据「Test Policy Group」，用户 「test」拥有存取HENNGE Secure Browser 设定的设置介面的特殊权限 (login_name:test)。

登入至 Access Control 用户控制台

因为「Test Policy Group」已被设置成如下，所以用户「test」拥有存取HENNGE Secure Browser 设定的设置介面的特殊权限。

登入之后，您将可以看见「HENNGE Secure Browser 设定」在用户控制台界面裡。

点入「HENNGE Secure Browser 设定」, 您将进入HENNGE Secure Browser 设定设置界面。

A7. 在存取记录上可以看到哪些活动？

在存取记录上，系统管理者可以看到历史登入的相关讯息包含登入时间日期、登入使用者、IP位址、装置类型和登入状态。

• 登入已验证：当使用者正确的输入了帐户跟密码并成功的登入。
• 密码不正确：当使用者输入了错误的密码，并无法成功登入。
• 已锁定：当使用者尝试登入某个帐号多于「允许的登入失败次数」，该帐号将会被锁定。
• 存取原则已拒绝：当使用者输入了正确的帐户和密码，可是由于存取原则的关係而无法登入。

A8. 我要如何一次新增多个使用者？

如果欲一次滙入大批使用者，请参考此连结：HENNGE Access Control 管理操作说明 : 使用者设定 (存取原则群组)