Політики AD FS

Інсталятор ESA створює такі правила автентифікації AD FS:

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]

 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "true"]

 => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");

 

Наведені вище правила автоматично вмикають двофакторну автентифікацію (2FA) для внутрішніх і зовнішніх мереж.

Якщо використовується стороння програма AD FS, яка не працює належним чином із 2FA, і вам потрібно вимкнути використання 2FA для певних користувачів, щоб вони могли користуватися цією програмою, необхідно змінити політику AD FS.

1.Відкрийте Windows PowerShell, виконайте наведену нижче команду та перевірте результат. Він покаже, чи дійсно додаткові правила автентифікації вказано лише на початку цього розділу.

Get-AdfsAdditionalAuthenticationRule

2.Щоб видалити додаткові правила автентифікації, виконайте таку команду:

Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules ' '

3.Відкрийте AD FS Management і клацніть Access Control Policies > Action > Add Access Control Policy.

4. Додайте такі два правила Permit Users:

I.Permit Users
from esa_domain\ESA Users groups
and require multi-factor authentication

II.Permit Users

Якщо Сервер аутентифікації інстальовано в режимі Active Directory Integration, під час інсталяції автоматично створюється група esa_domain\ESA Users, а група esa_domain замінюється іменем домену Серверa аутентифікації.

Якщо Сервер аутентифікації інстальовано в режимі Standalone, необхідно створити групу користувачів і додати користувачів ESA у створену групу.

Два правила Permit Users, наведені вище, забезпечать обов’язковість 2FA тільки для користувачів, які належать до вказаної групи. Для всіх інших користувачів сторінка автентифікації 2FA пропускатиметься.

5.Клацніть Relying Party Trusts і призначте політику відповідній стороні, що перевіряє ідентифікаційні дані.