我们使用本地 AD FS 服务器(目前在 Windows Server 2019 上),其中包含多个“依赖方”应用程序。它连接到本地 Active Directory,然后同步到获得支持 MFA 许可的 Azure AD/Entra 租户。
AD FS 中配置的大多数依赖方应用程序都有 MFA 要求,但对于其中一些应用程序,我无法让策略按我们需要的方式工作。也就是说,我们为这些 RP 制定了访问控制策略,仅当您属于某些组时才允许进行身份验证:
上图是通用策略模板,但对于实际的 RP 策略,它包含多个组,并且我们需要能够以这种方式限制访问。如果我们使用此策略,那是因为供应商应用程序本身只会信任身份验证令牌和声明,并可能授予用户不应该使用的应用程序的访问权限。
我想为这些应用程序添加 MFA 要求。但是,没有“允许特定组并要求 MFA”或更好的“允许特定组并要求特定组使用 MFA”的策略选项(请记住,用户可以属于多个组),因此我可以以合理的速度加入用户。
对于其他依赖方,我们可以使用“允许所有人并要求 MFA”或“允许所有人并要求特定群体使用 MFA”(如果我们仍在招募人员或有 MFA 豁免),但这在这里不起作用,因为这最终会允许不应该拥有访问权限的人访问。
我怎样才能做到这一点?
到目前为止,该领域的变化已经很少了,我发现使用 GUI 效率更高,但我希望有办法使用 PowerShell 或类似工具来实现这一点。
答案1
事实证明我瞎了眼,你可以在 GUI 中定义策略。访问控制策略与依赖方处于同一级别。
因为我们是一所大学,我最终可能还会添加一个使用位置(实际上是:IP 地址)的自定义策略,这样我就可以免除我们教室的 PC 使用 MFA 来访问 Canvas LMS 平台的需要,因为这对教师来说很尴尬和令人沮丧。
但是,我仍然缺少我想要的一项策略。我找不到使用 GUI 或 Powershell + 元数据 xml 来构建更复杂的策略的方法,其中只允许特定组,而使用不同的组来执行 MFA(因此,第一个组(或多个组)中的成员身份始终授予访问权限,但同时拥有两个组的成员身份意味着您还必须执行 MFA)。我肯定会赞成并接受另一个展示如何做到这一点的答案。