是否有能力制定当用户属于 A 组和 B 组时有效的 ADFS 访问控制策略规则?
我需要仅允许 APPLICATION_USERS 组中的用户访问某些应用程序。我也为所有用户设置了 MFA,但为其中一些用户设置了 MFA_BYPASS 组。
这意味着我需要两条规则:
rule1:
Permit users
from APPLICATION_USERS group
and require MFA
except from MFA_BYPASS group
rule2:
Permit users
from APPLICATION_USERS group
我如何确保rule2
不会对 APPLICATION_USERS 中的每个人都应用该功能,而只对 APPLICATION_USERS 中的用户应用该功能和在 MFA_BYPASS 中?
我如何修改rule2
形成
rule2:
Permit users
from APPLICATION_USERS group
AND from MFA_BYPASS group
是否明确检查 MFA_BYPASS 的成员(GUI 不允许这样做AND
)?