sada Intune App SDK pro iOS – více identit
Poznámka
Tato příručka je rozdělená do několika různých fází. Začněte tím, že si projděte fázi 1: Plánování integrace.
Fáze 5: Více identit (volitelné)
Ve výchozím nastavení sada SDK použije zásadu pro aplikaci jako celek. Více identit je funkce MAM, u které můžete povolit použití zásad na úrovni jednotlivých identit. To vyžaduje větší zapojení aplikací než jiné funkce MAM.
Aplikace musí informovat sadu SDK aplikace, když má v úmyslu změnit aktivní identitu. Sada SDK také aplikaci upozorní, když se vyžaduje změna identity. V současné době se podporuje jenom jedna spravovaná identita. Jakmile uživatel zařízení nebo aplikaci zaregistruje, sada SDK tuto identitu použije a považuje ji za primární spravovanou identitu. Ostatní uživatelé v aplikaci budou považováni za nespravované s neomezeným nastavením zásad.
Všimněte si, že identita je jednoduše definovaná jako řetězec. U identit se nerozlišují malá a velká písmena. Požadavky na sadu SDK pro identitu nemusí vrátit stejná a malých
Goals fáze
- Zjistěte, jestli vaše aplikace potřebuje podporu více identit.
- Seznamte se s tím, jak sada Intune App SDK vnímá identity.
- Refaktorujte aplikaci pro rozpoznávání identity.
- Přidejte kód, který informuje sadu SDK o aktivních a měnících se identitách v rámci vaší aplikace.
- Důkladně otestujte vynucování zásad ochrany aplikací pro spravované i nespravované identity.
Přehled identit
Identita je jednoduše uživatelské jméno účtu (například user@contoso.com). Vývojáři můžou nastavit identitu aplikace na následujících úrovních:
Identita procesu: Nastaví identitu pro celý proces a používá se hlavně pro aplikace s jednou identitou. Tato identita ovlivňuje všechny úlohy, soubory a uživatelské rozhraní.
Identita uživatelského rozhraní: Určuje, jaké zásady se použijí na úlohy uživatelského rozhraní v hlavním vlákně, jako je vyjmutí, kopírování a vložení, PIN kód, ověřování a sdílení dat. Identita uživatelského rozhraní nemá vliv na úlohy souborů, jako je šifrování a zálohování.
Identita vlákna: Ovlivňuje, jaké zásady se použijí v aktuálním vlákně. Tato identita ovlivňuje všechny úlohy, soubory a uživatelské rozhraní.
Aplikace zodpovídá za správné nastavení identit bez ohledu na to, jestli je uživatel spravovaný nebo ne.
Každé vlákno má kdykoli efektivní identitu pro úlohy uživatelského rozhraní a úlohy souborů. Toto je identita, která se používá ke kontrole, jaké zásady by se měly použít( pokud nějaké). Pokud je identita "žádná identita" nebo uživatel není spravovaný, nebudou použity žádné zásady. Následující diagramy ukazují, jak se určují efektivní identity.
Fronty vláken
Aplikace často odesílají asynchronní a synchronní úlohy do front vláken. Sada SDK zachytává volání GCD (Grand Central Dispatch) a přidruží aktuální identitu vlákna k odeslaným úlohám. Po dokončení úkolů sada SDK dočasně změní identitu vlákna na identitu přidruženou k úkolům, dokončí úlohy a pak obnoví původní identitu vlákna.
Vzhledem k tomu NSOperationQueue
, že je postaven na GCD, NSOperations
spustí se na identitě vlákna v době, kdy jsou úlohy přidány do NSOperationQueue
.
NSOperations
nebo funkce odesílané přímo prostřednictvím GCD můžou také změnit identitu aktuálního vlákna při jejich spuštění. Tato identita přepíše identitu zděděnou z vlákna odesílání.
Ve swiftu je kvůli tomu, jak sada SDK šíří identity pro DispatchWorkItem
, identita přidružená DispatchWorkItem
k objektu je identita vlákna, které položku vytvořilo, a ne vlákno, které ji odesílá.
Vlastník souboru
Sada SDK sleduje identity místních vlastníků souborů a odpovídajícím způsobem používá zásady. Vlastník souboru je vytvořen při vytvoření souboru nebo při otevření souboru v režimu zkrácení. Vlastník je nastavený na efektivní identitu úlohy souboru vlákna, které úlohu provádí.
Alternativně můžou aplikace nastavit identitu vlastníka souboru explicitně pomocí .IntuneMAMFilePolicyManager
Aplikace můžou použít IntuneMAMFilePolicyManager
k načtení vlastníka souboru a nastavení identity uživatelského rozhraní před zobrazením obsahu souboru.
Sdílená data
Pokud aplikace vytvoří soubory, které obsahují data od spravovaných i nespravovaných uživatelů, zodpovídá za šifrování dat spravovaného uživatele. Data můžete šifrovat pomocí protect
rozhraní API a unprotect
v IntuneMAMDataProtectionManager
nástroji .
Metoda protect
přijímá identitu, kterou může být spravovaný nebo nespravovaný uživatel. Pokud je uživatel spravovaný, data se zašifrují. Pokud je uživatel nespravovaný, přidá se k datům, která kódují identitu, hlavička, ale data nebudou zašifrovaná. K načtení vlastníka dat můžete použít protectionInfo
metodu .
Sdílení rozšíření
Pokud má aplikace rozšíření sdílené složky, můžete vlastníka sdílené položky načíst metodou protectionInfoForItemProvider
v IntuneMAMDataProtectionManager
. Pokud je sdílenou položkou soubor, sada SDK zpracuje nastavení vlastníka souboru. Pokud jsou sdílenou položkou data, aplikace zodpovídá za nastavení vlastníka souboru, pokud se tato data uchovávají v souboru, a za volání setUIPolicyAccountId
rozhraní API před zobrazením těchto dat v uživatelském rozhraní.
Zapnutí více identit
Ve výchozím nastavení se aplikace považují za jedinou identitu. Sada SDK nastaví identitu procesu zaregistrovaného uživatele. Pokud chcete povolit podporu více identit, přidejte do slovníku IntuneMAMSettings v souboru Info.plist aplikace logické nastavení s názvem MultiIdentity
a hodnotou ANO.
Poznámka
Pokud je povolená více identit, identita procesu, identita uživatelského rozhraní a identita vláken se nastaví na hodnotu nil. Aplikace zodpovídá za jejich správné nastavení.
Přepnutí identit
Přepnutí identity iniciované aplikací:
Při spuštění se aplikace s více identitou považují za spuštěné pod neznámým nespravovaným účtem. Uživatelské rozhraní podmíněného spuštění se nespustí a v aplikaci se nebudou vynucovat žádné zásady. Aplikace zodpovídá za upozornění sady SDK, kdykoli by se měla identita změnit. Obvykle k tomu dochází, když se aplikace chystá zobrazit data pro konkrétní uživatelský účet.
Příkladem je, když se uživatel pokusí otevřít dokument, poštovní schránku nebo kartu v poznámkovém bloku. Aplikace musí před otevřením souboru, poštovní schránky nebo karty upozornit sadu SDK. To se provádí prostřednictvím
setUIPolicyAccountId
rozhraní API vIntuneMAMPolicyManager
. Toto rozhraní API by se mělo volat bez ohledu na to, jestli je uživatel spravovaný. Pokud je uživatel spravovaný, sada SDK provede podmíněné kontroly spuštění, jako je detekce jailbreaků, PIN kód a ověřování.Výsledek přepínače identity se vrátí do aplikace asynchronně prostřednictvím obslužné rutiny dokončení. Aplikace by měla odložit otevření dokumentu, poštovní schránky nebo karty, dokud se nevrátí kód výsledku úspěchu. Pokud přepnutí identity selhalo, měla by aplikace úlohu zrušit.
Aplikace s více identitou by se měly vyhnout použití
setProcessAccountId
jako způsobu nastavení identity. Aplikace, které používají UIScenes, by měly k nastavení identity používatsetUIPolicyAccountId:forWindow
rozhraní API.Aplikace můžou také nastavit identitu pro aktuální vlákno pomocí a
setCurrentThreadIdentity:
setCurrentThreadIdentity:forScope:
. Aplikace může například vytvořit vlákno na pozadí, nastavit identitu na spravovanou identitu a pak provádět operace se soubory se spravovanými soubory. Pokud aplikace používásetCurrentThreadAccountId:
, měla by ji také použítgetCurrentThreadAccountId
, aby po dokončení obnovila původní identitu. Pokud ale aplikace používásetCurrentThreadAccountId:forScope:
, dojde k automatickému obnovení staré identity. Raději používátesetCurrentThreadAccountId:forScope:
.Ve swiftu kvůli async/await
[IntuneMAMPolicyManager setCurrentThreadAccountId:]
a[IntuneMAMPolicyManager setCurrentThreadAccountId:forScope:]
nejsou k dispozici. Místo toho ve swiftu k nastavení aktuální identity použijteIntuneMAMSwiftContextManager.setAccountId(_, forScope:)
. Existují varianty tohoto rozhraní API pro asynchronní, vyvolání a asynchronní uzavření, které se mají předat.Přepnutí identity iniciované sadou SDK:
V některých případech musí sada SDK požádat aplikaci, aby přepnula na konkrétní identitu. Aplikace s více identitami musí implementovat metodu
identitySwitchRequiredForAccountId
v,IntuneMAMPolicyDelegate
aby tento požadavek zvládly.Když je volána tato metoda, pokud aplikace dokáže zpracovat požadavek na přepnutí na zadanou identitu, měla by
IntuneMAMAddIdentityResultSuccess
předat do obslužné rutiny dokončení. Pokud nemůže zpracovat přepnutí identity, měla by aplikace předatIntuneMAMAddIdentityResultFailed
obslužné rutině dokončení.Aplikace nemusí volat
setUIPolicyAccountId
v reakci na toto volání. Pokud sada SDK potřebuje, aby aplikace přešla na nespravovaný uživatelský účet, předá se doidentitySwitchRequiredForAccountId
volání prázdný řetězec.Automatická registrace identity iniciovaná sadou SDK:
Pokud sada SDK potřebuje k provedení akce automaticky zaregistrovat uživatele v aplikaci, aplikace musí implementovat metodu
addIdentity:completionHandler:
vIntuneMAMPolicyDelegate
. Aplikace pak musí zavolat obslužnou rutinu dokončení a předat IntuneMAMAddIdentityResultSuccess, pokud je aplikace schopná přidat identitu nebo IntuneMAMAddIdentityResultFailed jinak.Selektivní vymazání:
Když je aplikace selektivně vymazána, sada SDK zavolá metodu
wipeDataForAccountId
vIntuneMAMPolicyDelegate
. Aplikace zodpovídá za odebrání účtu zadaného uživatele a všech dat, která jsou k němu přidružená. Sada SDK dokáže odebrat všechny soubory vlastněné uživatelem a provede to, pokud aplikace zwipeDataForAccountId
volání vrátí NEPRAVDA.Všimněte si, že tato metoda je volána z vlákna na pozadí. Aplikace by neměla vracet hodnotu, dokud se neodeberou všechna data uživatele (s výjimkou souborů, pokud aplikace vrátí NEPRAVDA).
Kritéria ukončení
Naplánujte si vyhradit významný čas na ověření integrace více identit ve vaší aplikaci. Než začnete s testováním:
- Vytvořte a přiřaďte k účtu zásady ochrany aplikací. To bude váš testovací spravovaný účet.
- Vytvořte jiný účet, ale nepřiřazujte k nim zásady ochrany aplikací. Bude to váš testovací nespravovaný účet. Případně pokud vaše aplikace podporuje více typů účtů nad rámec účtů Microsoft Entra, můžete jako nespravovaný testovací účet použít existující účet bez AAD.
- Refamiliarizujte se s tím, jak se zásady vynucují ve vaší aplikaci. Testování s více identitami vyžaduje, abyste snadno rozlišily, kdy vaše aplikace funguje a kdy nefunguje s vynucenými zásadami. Nastavení zásad ochrany aplikací pro blokování snímků obrazovky je efektivní při rychlém testování vynucování zásad.
- Vezměte v úvahu celou sadu uživatelského rozhraní, které vaše aplikace nabízí. Zobrazte výčet obrazovek, na kterých se zobrazují data účtu. Prezentuje vaše aplikace někdy jenom data jednoho účtu najednou, nebo může prezentovat data patřící více účtům najednou?
- Vezměte v úvahu celou sadu souborů, které vaše aplikace vytvoří. Zadejte výčet, které z těchto souborů obsahují data patřící k účtu, nikoli data na úrovni systému.
- Určete, jak u každého z těchto souborů ověříte šifrování.
- Zvažte celou sadu způsobů, jak může vaše aplikace komunikovat s jinými aplikacemi. Zobrazí výčet všech bodů příchozího a výchozího přenosu dat. Jaké typy dat může vaše aplikace ingestovat? Jaké záměry vysílá? Jaké poskytovatele obsahu implementuje?
- Určete, jak budete provádět jednotlivé funkce sdílení dat.
- Připravte testovací zařízení se spravovanými i nespravovanými aplikacemi, které můžou s vaší aplikací pracovat.
- Zvažte, jak vaše aplikace umožňuje koncovému uživateli pracovat se všemi přihlášenými účty. Musí uživatel před zobrazením dat účtu ručně přepnout na účet?
Po důkladném posouzení aktuálního chování aplikace ověřte integraci s více identitou provedením následující sady testů. Upozorňujeme, že se nejedná o úplný seznam a nezaručuje, že implementace více identit vaší aplikace bude bez chyb.
Scénáře ověřování přihlášení a odhlášení
Aplikace s více identitmi podporuje až 1 spravovaný účet a několik nespravovaných účtů. Tyto testy pomáhají zajistit, aby integrace s více identitami nesprávně nezměnila ochranu při přihlášení nebo odhlášení uživatelů.
Pro tyto testy nainstalujte aplikaci na testovací zařízení. před zahájením testu se nepřihlašujte.
Scénář | Kroky |
---|---|
Nejprve se přihlaste. | – Nejprve se přihlaste pomocí spravovaného účtu a ověřte, že jsou data účtu spravovaná. – Přihlaste se pomocí nespravovaného účtu a ověřte, že data účtu nejsou spravovaná. |
Nejprve se přihlaste nespravované | – Nejprve se přihlaste pomocí nespravovaného účtu a ověřte, že data účtu nejsou spravovaná. – Přihlaste se pomocí spravovaného účtu a ověřte, že jsou data účtu spravovaná. |
Přihlášení více spravovaných | – Nejprve se přihlaste pomocí spravovaného účtu a ověřte, že jsou data účtu spravovaná. – Přihlaste se pomocí druhého spravovaného účtu a ověřte, že se uživateli zablokovalo přihlášení, aniž byste nejprve odebrali původní spravovaný účet. |
Odhlásit se spravované | – Přihlaste se k aplikaci pomocí spravovaného nespravovaného účtu. – Odhlaste se ze spravovaného účtu. – Ověřte, že se spravovaný účet odebral z vaší aplikace a že se odebrala všechna data daného účtu. – Ověřte, že je nespravovaný účet stále přihlášený, žádná data nespravovaného účtu nebyla odebrána a zásady se stále nepoužívají. |
Odhlásit se nespravované | – Přihlaste se k aplikaci pomocí spravovaného nespravovaného účtu. - Odhlaste se z nespravovaného účtu. – Ověřte, že se z aplikace odebral nespravovaný účet a že se odebrala všechna data daného účtu. – Ověřte, že je spravovaný účet stále přihlášený, žádná data nespravovaného účtu nebyla odebrána a zásady se stále používají. |
Ověřování aktivní identity a životního cyklu aplikace
Vaše aplikace s více identitami může zobrazit zobrazení s daty jednoho účtu a umožnit uživateli explicitně změnit aktuální účet, který se používá. Může také zobrazit zobrazení s daty více účtů najednou. Tyto testy pomáhají zajistit, aby integrace s více identitami poskytovala správnou ochranu aktivní identity na každé stránce během celého životního cyklu aplikace.
Pro tyto testy nainstalujte aplikaci na testovací zařízení. Před spuštěním testu se přihlaste pomocí spravovaného i nespravovaného účtu.
Scénář | Kroky |
---|---|
Zobrazení s jedním účtem, spravované | – Přepněte na spravovaný účet. – Přejděte na všechny stránky v aplikaci, které představují data jednoho účtu. – Ověřte, že se zásady používají na každé stránce. |
Zobrazení s jedním účtem, nespravované | - Přepněte na nespravovaný účet. – Přejděte na všechny stránky v aplikaci, které představují data jednoho účtu. – Ověřte, že se zásady nepoužívají na žádné stránce. |
Zobrazení s více účty | – Přejděte na všechny stránky v aplikaci, které současně prezentuje data více účtů. – Ověřte, že se zásady používají na každé stránce. |
Spravované pozastavení | – Na obrazovce se zobrazenými spravovanými daty a aktivními zásadami pozastavte aplikaci tak, že přejdete na domovskou obrazovku zařízení nebo na jinou aplikaci. – Pokračujte v aplikaci. – Ověřte, že se zásady stále používají. |
Nespravované pozastavení | – Na obrazovce se zobrazenými nespravovanými daty a bez aktivních zásad pozastavte aplikaci tak, že přejdete na domovskou obrazovku zařízení nebo na jinou aplikaci. – Pokračujte v aplikaci. – Ověřte, že se zásady nepoužívají. |
Spravované ukončení | – Na obrazovce se zobrazenými spravovanými daty a aktivními zásadami vynuťte ukončení aplikace. – Restartujte aplikaci. – Ověřte, že pokud se aplikace obnoví na obrazovce s daty spravovaného účtu (očekávaná), zásady se stále použijí. Pokud se aplikace obnoví na obrazovce s daty nespravovaného účtu, ověřte, že se zásady nepoužívají. |
Nespravované zabití | – Na obrazovce se zobrazenými nespravovanými daty a aktivními zásadami vynuťte ukončení aplikace. – Restartujte aplikaci. – Ověřte, že pokud se aplikace obnoví na obrazovce s daty nespravovaného účtu (očekávané), zásady se nepoužijí. Pokud se aplikace obnoví na obrazovce s daty spravovaného účtu, ověřte, že se zásady stále používají. |
Přepnutí identity ad hoc | - Experimentujte s přepínáním mezi účty a pozastavením, obnovením, ukončením nebo restartováním aplikace. – Ověřte, že data spravovaného účtu jsou vždy chráněná a data nespravovaného účtu nikdy chráněná nejsou. |
Ověřování scénářů sdílení dat
Vaše aplikace s více identitou může odesílat data do jiných aplikací a přijímat data z jiných aplikací. Zásady ochrany aplikací Intune mají nastavení, která toto chování určují. Tyto testy pomáhají zajistit, aby integrace s více identitami dodržovala tato nastavení sdílení dat.
Pro tyto testy nainstalujte aplikaci na testovací zařízení. Před spuštěním testu se přihlaste pomocí spravovaného i nespravovaného účtu. Kromě toho:
- Nastavte zásady spravovaného účtu takto:
- "Odeslat data organizace do jiných aplikací" na "Aplikace spravované zásadami".
- "Příjem dat z jiných aplikací" na "Aplikace spravované zásadami".
- Nainstalujte na testovací zařízení další aplikace:
- Spravovaná aplikace, na kterou cílí stejné zásady jako vaše aplikace, která může odesílat a přijímat data (například Microsoft Outlook).
- Libovolná nespravovaná aplikace, která může odesílat a přijímat data.
- Přihlaste se k druhé spravované aplikaci pomocí spravovaného testovacího účtu. I když má druhá spravovaná aplikace více identit, přihlaste se jenom pomocí spravovaného účtu.
Pokud má vaše aplikace možnost posílat data do jiných aplikací, jako je microsoft Outlook, který odesílá přílohu dokumentu do Microsoft Office:
Scénář | Kroky |
---|---|
Odeslání spravované identity do nespravované aplikace | – Přepněte na spravovaný účet. – Přejděte na místo, kam může vaše aplikace odesílat data. – Pokuste se odeslat data do nespravované aplikace. – Měli byste mít zablokované odesílání dat do nespravované aplikace. |
Odeslání spravované identity do spravované aplikace | – Přepněte na spravovaný účet. – Přejděte na místo, kam může vaše aplikace odesílat data. – Pokuste se odeslat data do druhé spravované aplikace s přihlášeným spravovaným účtem. – Měli byste mít možnost odesílat data do spravované aplikace. |
Odeslání nespravované identity do spravované aplikace | - Přepněte na nespravovaný účet. – Přejděte na místo, kam může vaše aplikace odesílat data. – Pokuste se odeslat data do druhé spravované aplikace s přihlášeným spravovaným účtem. – Měli byste mít zablokované odesílání dat do jiné spravované aplikace. |
Odeslání nespravované identity do nespravované aplikace | - Přepněte na nespravovaný účet. – Přejděte na místo, kam může vaše aplikace odesílat data. – Pokuste se odeslat data do nespravované aplikace. – Do nespravované aplikace byste měli mít vždy povolené odesílat data nespravovaného účtu. |
Vaše aplikace může aktivně importovat data z jiných aplikací, jako je Microsoft Outlook, který připojuje soubor z Microsoft OneDrivu. Vaše aplikace může také pasivně přijímat data z jiných aplikací, jako je microsoft Office, který otevírá dokument z přílohy Microsoft Outlooku. Nastavení zásad ochrany aplikací pro příjem se vztahuje na oba scénáře.
Pokud má vaše aplikace možnost aktivně importovat data z jiných aplikací:
Scénář | Kroky |
---|---|
Import spravované identity z nespravované aplikace | – Přepněte na spravovaný účet. – Přejděte na místo, kam může vaše aplikace importovat data z jiných aplikací. – Pokuste se importovat data z nespravované aplikace. – Měli byste mít blokovaný import dat z nespravovaných aplikací. |
Import spravované identity ze spravované aplikace | – Přepněte na spravovaný účet. – Přejděte na místo, kam může vaše aplikace importovat data z jiných aplikací. – Pokuste se importovat data z druhé spravované aplikace s přihlášeným spravovaným účtem. – Měli byste mít možnost importovat data z jiné spravované aplikace. |
Import nespravované identity ze spravované aplikace | - Přepněte na nespravovaný účet. – Přejděte na místo, kam může vaše aplikace importovat data z jiných aplikací. – Pokuste se importovat data z druhé spravované aplikace s přihlášeným spravovaným účtem. - Měli byste mít blokovaný import dat z druhé spravované aplikace. |
Import nespravované identity z nespravované aplikace | - Přepněte na nespravovaný účet. – Přejděte na místo, kam může vaše aplikace importovat data z jiných aplikací. – Pokuste se importovat data z nespravované aplikace. – Vždy byste měli mít možnost importovat data z nespravované aplikace pro nespravovaný účet. |
Pokud má vaše aplikace schopnost pasivně přijímat data z jiných aplikací:
Scénář | Kroky |
---|---|
Příjem spravované identity z nespravované aplikace | – Přepněte na spravovaný účet. - Přepněte na nespravovanou aplikaci. – Přejděte na místo, kam může odesílat data. – Pokuste se do aplikace odeslat data z nespravované aplikace. – Spravovaný účet vaší aplikace by neměl být schopen přijímat data z nespravované aplikace. |
Příjem spravované identity ze spravované aplikace | – Přepněte na spravovaný účet. – Přejděte na jinou spravovanou aplikaci s přihlášeným spravovaným účtem. – Přejděte na místo, kam může odesílat data. – Pokuste se do aplikace odeslat data ze spravované aplikace. – Spravovaný účet vaší aplikace by měl mít možnost přijímat data z druhé spravované aplikace. |
Příjem nespravované identity ze spravované aplikace | - Přepněte na nespravovaný účet. – Přejděte na jinou spravovanou aplikaci s přihlášeným spravovaným účtem. – Přejděte na místo, kam může odesílat data. – Pokuste se do aplikace odeslat data ze spravované aplikace. – Nespravovaný účet vaší aplikace by neměl být schopen přijímat data ze spravované aplikace. |
Příjem nespravované identity z nespravované aplikace | - Přepněte na nespravovaný účet. - Přepněte na nespravovanou aplikaci. – Přejděte na místo, kam může odesílat data. – Pokuste se do aplikace odeslat data z nespravované aplikace. – Nespravovaný účet vaší aplikace by měl mít vždy povoleno přijímat data z nespravované aplikace. |
Selhání v těchto testech můžou znamenat, že vaše aplikace nemá při pokusu o odeslání nebo přijetí dat nastavenou správnou aktivní identitu. Můžete to prozkoumat tak, že využijete rozhraní API pro získání identity sady SDK v okamžiku odesílání a přijímání a ověřte, že je aktivní identita správně nastavená.
Další kroky
Po dokončení všech výše uvedených kritérií ukončení je vaše aplikace úspěšně integrovaná jako více identit a může vynucovat zásady ochrany aplikací na základě jednotlivých identit. Následující části , Fáze 6: Podpora podmíněného přístupu k ochraně aplikací a Fáze 7: Funkce webového zobrazení, můžou nebo nemusí být vyžadovány v závislosti na požadované podpoře zásad ochrany aplikací vaší aplikace.