Guida online ESET

Ricerca Italiano
Seleziona l'argomento

Criteri AD FS

Il programma di installazione di ESA imposta le seguenti regole di autenticazione AD FS:

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]

 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "true"]

 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

 

Le regole di cui sopra abilitano automaticamente l’autenticazione a due fattori (two-factor authentication, 2FA) sia per le reti interne che per quelle esterne.

Se si utilizza un’app AD FS di terze parti che non funziona correttamente con l’autenticazione a due fattori e si desidera impedire a utenti specifici di utilizzare l’autenticazione a due fattori per accedere all’app in questione, è necessario modificare il criterio AD FS.

1.Aprire Windows PowerShell ed eseguire il seguente comando. Verificare quindi l'output di tale comando per controllare che le uniche regole di autenticazione aggiuntive siano quelle elencate all'inizio di questa sezione.

Get-AdfsAdditionalAuthenticationRule

2.Per rimuovere regole di autenticazione aggiuntive, eseguire il seguente comando:

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules ' '

3.Aprire Gestione AD FS, fare clic su Accedi a criteri di controllo > Azione > Aggiungi criterio di controllo degli accessi.

4. Aggiungere le due regole Permit Users (Autorizza utenti) seguenti:

I.Permit Users
from esa_domain\ESA Users groups
and require multi-factor authentication

II.Permit Users

Se il Server di autenticazione è installato in modalità Integrazione Active Directory, il gruppo esa_domain\ESA Users Users viene creato automaticamente durante l’installazione, mentre esa_domain viene sostituito con il nome di dominio del Server di autenticazione.

Se il Server di autenticazione è installato in modalità Standalone (autonoma), è necessario creare un gruppo di utenti e assegnare gli utenti ESA al gruppo.

Le due regole Permit Users (Autorizza utenti) di cui sopra garantiscono che l’autorizzazione a due fattori è necessaria unicamente per gli utenti appartenenti al gruppo specificato. Per tutti gli altri utenti, la pagina relativa all’autenticazione a due fattori viene ignorata.

5.Fare clic su Attendibilità del componente e assegnare il criterio al componente attendibile.