ESET Online pomocník

Vyhľadať Slovenčina
Vyberte kapitolu

Politiky AD FS

Inštalátor ESA nastaví nasledujúce autentifikačné pravidlá AD FS:

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]

 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "true"]

 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

 

Vyššie uvedené pravidlá automaticky aktivujú dvojúrovňové overovanie (2FA) pre interné aj externé siete.

Ak používate aplikáciu AD FS tretej strany, ktorá nepracuje správne s 2FA, a chcete vylúčiť konkrétnych používateľov z používania 2FA na prístup k tejto aplikácii, potom musíte upraviť politiky AD FS.

1.Otvorte Windows PowerShell a spustite nasledujúci príkaz. Potom skontrolujte výstup príkazu a uistite sa, že jediné dodatočné pravidlá overovania sú tie, ktoré sú uvedené na začiatku tejto podkapitoly.

2.Ak chcete odstrániť dodatočné pravidlá overovania, spustite nasledovný príkaz:

3.Otvorte AD FS Management, kliknite na Access Control Policies > Action > Add Access Control Policy.

4. Pridajte nasledujúce dve pravidlá Permit Users:

Ak je autentifikačný server nainštalovaný v režime Active Directory Integration, skupina esa_domain\ESA Users sa vytvorí automaticky počas inštalácie, pričom namiesto esa_domain sa použije názov domény autentifikačného servera.

Ak je autentifikačný server nainštalovaný v režime Standalone, musíte manuálne vytvoriť skupinu používateľov a priradiť k nej používateľov ESA.

Tieto dve pravidlá Permit Users zabezpečia, že 2FA sa bude vyžadovať len v prípade používateľov patriacich do určenej skupiny. V prípade všetkých ostatných používateľov sa stránka overenia pomocou 2FA preskočí.

5.Kliknite na Relying Party Trusts a priraďte politiku k príslušnej priestupnej organizácii.