Интернет-справка ESET

Выберите тему

Политики AD FS

Установщик ESA устанавливает следующие правила аутентификации AD FS:

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]

 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "true"]

 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

 

Приведенные выше правила автоматически включают двухфакторную аутентификацию (2FA) как для внутренних, так и для внешних сетей.

Если используется приложение AD FS от стороннего разработчика, которое не работает должным образом с 2FA, и для отдельных пользователей требуется отключить использование 2FA при доступе к этому приложению, необходимо отредактировать политику AD FS.

1.Откройте оболочку Windows PowerShell и выполните следующую команду. Затем проверьте результаты выполнения команды и убедитесь, что единственными дополнительными правилами аутентификации являются правила, приведенные в начале этого раздела.

Get-AdfsAdditionalAuthenticationRule

2.Чтобы удалить дополнительные правила аутентификации, выполните следующую команду:

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules ' '

3.Откройте Управление AD FS, щелкните Политики управления доступом > Действие > Добавить политику управления доступом.

4. Добавьте следующие два правила Permit Users (Разрешить пользователей):

I.Permit Users
from esa_domain\ESA Users groups
and require multi-factor authentication

II.Permit Users

Если Сервера аутентификации установлен в режиме интеграции со службой каталогов Active Directory, то во время установки автоматически создается группа esa_domain\ESA Users, где esa_domain заменяется на доменное имя Сервера аутентификации.

Если Сервер Аутентификации установлен в автономном режиме, необходимо создать группу пользователей и назначить пользователей ESA в эту группу.

Два приведенных выше правила Permit Users (Разрешить пользователей) гарантируют, что 2FA будет применяться только для пользователей, относящихся к указанной группе. Для всех остальных пользователей страница двухфакторной аутентификации пропускается.

5.Щелкните Отношения доверия проверяющей стороны, чтобы назначить политику для применимой проверяющей стороны.