Ayuda en línea de ESET

Seleccionar el tema

Políticas AD FS

El instalador ESA define las siguientes reglas de autenticación de AD FS:

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]

 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "true"]

 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

 

Las reglas mencionadas arriba le permiten habilitar la autenticación de dos factores (2FA) tanto para redes internas como externas.

Si utiliza una aplicación AD FS de terceros que no funciona correctamente con 2FA y quiere excluir a usuarios específicos del uso de 2FA para acceder a dicha aplicación, debe editar la política de AD FS.

1.Abra Windows PowerShell y ejecute el siguiente comando. Luego, verifique el resultado del comando para corroborar que solo se enumeren las reglas de autenticación adicionales mencionadas al comienzo de esta sección.

Get-AdfsAdditionalAuthenticationRule

2.Para quitar las reglas de autenticación adicionales, ejecute el siguiente comando:

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules ' '

3.Abra Gestión de AD FS, haga clic en Políticas de control de acceso > Acción > Agregar Política de control de acceso.

4. Agregue las siguientes dos reglas Permit Users:

I.Permit Users
from esa_domain\ESA Users groups
and require multi-factor authentication

II.Permit Users

Si Authentication Server está instalado en el modo Integración con Active Directory, se crea automáticamente el grupo esa_domain\ESA Users durante la instalación, mientras que se reemplaza esa_domain con el nombre de dominio de Authentication Server.

Si Authentication Server está instalado en modo Independiente, debe crear un grupo de usuarios y asignar usuarios de ESA al grupo.

Las dos reglas Permit Users mencionadas arriba garantizarán que 2FA se exija solo para los usuarios que pertenecen al grupo específico. Para el resto de los usuarios, se omitirá la página de autenticación con 2FA.

5.Haga clic en Relación de confianza para usuario autenticado y asigne la política a la relación de confianza correspondiente.