Poprzedni temat Następny temat

Ustawienia zaawansowane

Zakładka Zaawansowane w sekcji Konfiguracja > Uwierzytelnianie wieloskładnikowe

zawiera ważne ustawienia, które możesz skonfigurować, aby jeszcze bardziej kontrolować, jak przebiega proces MFA dla resetowania haseł, logowania do ADSelfService Plus oraz logowania do punktów końcowych.

Ogólne

Ustawienia CAPTCHA

Ukryj CAPTCHA w: Włącz to ustawienie, aby ukryć CAPTCHA na stronach autoryzacji drugiego czynnika.

Odzyskiwanie MFA

Włącz kody weryfikacyjne zapasowe MFA: Wybierz to ustawienie, aby włączyć generowanie zapasowych kodów MFA, które pozwalają użytkownikom udowodnić swoją tożsamość, gdy ich urządzenie MFA lub aplikacja uwierzytelniająca są niedostępne.

O kodach zapasowych

Te jednorazowe kody zapasowe pozwalają użytkownikom udowodnić swoją tożsamość w przypadku, gdy ich urządzenie MFA jest niedostępne lub gdy nie mogą skorzystać ze swoich zapisanych metod uwierzytelniania MFA. Po włączeniu ustawienia Włącz kody weryfikacyjne zapasowe MFA, kody zapasowe mogą być generowane, a użytkownicy końcowi mogą je wprowadzać, aby się uwierzytelnić podczas logowania do maszyny lub VPN, logowania do portalu ADSelfService Plus lub działań samodzielnych. Kody zapasowe można generować na dwa sposoby:

• Przez użytkownika: Użytkownicy mogą generować kody zapasowe w portalu użytkownika końcowego ADSelfService Plus. Za każdym razem, gdy opcja jest używana, generowane są łącznie pięć kodów. Każdy kod może być użyty tylko raz.
• Przez administratora: Administratorzy mogą również generować kody zapasowe dla użytkowników, którzy zapisali się do MFA, korzystając z raportu użytkowników zapisanych. To jest przydatne, gdy użytkownicy nie wygenerowali swoich własnych kodów zapasowych i nie mogą skorzystać z zapisanych metod MFA. Dowiedz się więcej

Uwaga:

• Użytkownicy mogą używać kodów zapasowych podczas logowania przez VPN tylko wtedy, gdy dla metod uwierzytelniania opartych na odpowiedzi na wyzwanie RADIUS są używane MFA logowania do VPN.
• Podczas MFA w VPN wygenerowany kod zapasowy może być wprowadzony w polu przeznaczonym na jednorazowe kody dostępu w kliencie VPN.
• Gdy weryfikacja tożsamości jest realizowana za pomocą kodów zapasowych, opcje Zaufaj tej przeglądarki i Zaufaj tej maszynie nie będą brane pod uwagę.

Resetowanie/Otwarcie MFA

• Ogranicz czas bezczynności MFA podczas resetowania hasła/odblokowywania konta do <text_box> min Włączenie tego ustawienia ustawi limit czasowy, jak długo użytkownik może potrzebować na ukończenie weryfikacji tożsamości. Na przykład, jeśli ustawisz to na 5 minut, użytkownicy muszą wprowadzić swój kod weryfikacyjny SMS lub zatwierdzić powiadomienie push w ciągu 5 minut. Limit czasu bezczynności resetuje się z każdym próbą weryfikacji lub przy działaniach takich jak wybór aplikacji uwierzytelniających.
• Zabroń użytkownikom resetowania hasła/odblokowywania konta, gdy są częściowo zapisani: Gdy ta opcja jest zaznaczona, użytkownicy końcowi, którzy tylko częściowo ukończyli proces rejestracji (powiedzmy, zapisali się do 2 z 4 metod uwierzytelniania), nie będą mogli resetować swoich haseł ani odblokowywać kont, dopóki nie ukończą procesu rejestracji.
• Wymuś rejestrację po udanym MFA dla aplikacji uwierzytelniających wybranych dla innych punktów końcowych: Włączenie tego ustawienia zapewnia, że użytkownicy zapisują się ze wszystkimi aplikacjami uwierzytelniającymi wymaganymi nie tylko do resetowania hasła i odblokowywania kont, ale także do logowania się do innych punktów końcowych, takich jak maszyny, VPN, OWA i aplikacje. Rejestracja jest również wymagana dla aplikacji uwierzytelniających ustawionych jako obowiązkowe w karcie Rejestracja MFA.

Endpoint MFA

Logowanie do maszyny MFA

• Ogranicz czas bezczynności MFA podczas logowania do maszyny do <text_box> min: Włączenie tej opcji ustawi limit czasowy dla użytkowników na zakończenie procesu uwierzytelniania wieloskładnikowego (MFA) podczas logowania się do swoich maszyn.
• Pomijaj MFA, gdy serwer ADSelfService Plus jest niedostępny lub poza zasięgiem: Ta opcja zapewnia, że użytkownicy nie zostaną pozostawieni na ekranach logowania do maszyn podczas procesu MFA, gdy serwer ADSelfService Plus jest niedostępny lub poza zasięgiem. Jednak oznacza to również zrezygnowanie z zaawansowanej warstwy zabezpieczeń MFA, co nie jest zalecane. Aby uniknąć takich okoliczności, wdrożenie offline MFA. Ta opcja nie ma zastosowania, gdy:
• Offline MFA jest skonfigurowane, a użytkownik jest zarejestrowany w offline MFA na swoim urządzeniu.
• MFA oparte na maszynach jest wymuszane na urządzeniu.
• Zachowaj zaufaną maszynę przez ___ dni: Gdy ta opcja jest włączona, użytkownicy, którzy zalogowali się raz za pomocą logowania do maszyny MFA, mogą pominąć proces uwierzytelniania MFA podczas kolejnych logowań. Włączenie tej opcji pomoże użytkownikom uniknąć przechodzenia przez proces MFA za każdym razem, gdy blokują i odblokowują swoje maszyny. Status zaufanej maszyny zostanie cofnięty po określonej liczbie dni.
• Zachowaj domyślnie zaznaczoną opcję Zaufaj tej maszynie: Włączając tę opcję, możesz domyślnie pozostawić zaznaczone pole obok Zaufaj tej maszynie na ekranie uwierzytelnienia MFA.
• __ jeśli użytkownik nie jest zarejestrowany w MFA: Ta opcja określa przepływ uwierzytelnienia dla użytkownika, gdy nie zarejestrował się w żadnym z uwierzytelniaczy dla logowania do maszyny MFA. Administrator może skonfigurować jedną z poniższych akcji:
• Zezwól na logowanie: Użytkownik będzie mógł pominąć MFA i uzyskać dostęp.
• Odmów logowania: Użytkownikowi zostanie odmówiony dostęp.
• Wymuś rejestrację:
• Użytkownik będzie zmuszony do zarejestrowania się w uwierzytelniaczach dla online MFA i offline MFA tylko po pomyślnym uwierzytelnieniu podstawowym.
• Ta opcja może być stosowana tylko dla maszyn z systemem Windows i macOS. Jeśli użytkownik nie jest zarejestrowany, a ta opcja jest wybrana, zostanie mu odmówiony dostęp do maszyny z systemem Linux.
Ważne:
• Uwierzytelnicze wymagane zarówno dla online, jak i offline MFA będą rozpatrywane łącznie, więc jeśli użytkownik nie jest zarejestrowany w żadnym z wymaganych uwierzytelniaczy dla tych dwóch metod logowania, zostanie uznany za niezarejestrowanego. Alternatywnie, jeśli jest zarejestrowany w co najmniej jednym uwierzytelniaczu wymaganym dla którejkolwiek z tych metod logowania, zostanie uznany za częściowo zarejestrowanego.
• Ta opcja dotyczy tylko użytkowników niezarejestrowanych. Użytkownicy częściowo zarejestrowani nie będą uznawani za niezarejestrowanych i będą musieli zarejestrować się w pozostałych uwierzytelniaczach po zakończeniu MFA, korzystając z zarejestrowanych uwierzytelniaczy.
• Jeśli wybrano uwierzytelniacze, w których użytkownicy nie mogą się zarejestrować, takie jak niestandardowe tokeny TOTP i pytania zabezpieczające AD, zostanie im odmówiony dostęp, nawet jeśli wybrano wymuszenie rejestracji, ponieważ tylko administrator może ich zarejestrować.
• Gdy MFA oparte na maszynach jest wymuszane, ta opcja jest nadpisywana, a użytkownicy, którzy nie są zarejestrowani w żadnym z uwierzytelniaczy, otrzymają odmowę dostępu do maszyny, a użytkownicy częściowo zarejestrowani będą musieli zarejestrować się w pozostałych wymaganych uwierzytelniaczach.

MFA logowania OWA

Uwaga: MFA dla logowania OWA wymaga edycji profesjonalnej ADSelfService Plus z Endpoint MFA.

• Ogranicz czas bezczynności MFA podczas logowania do OWA do <text_field> min: Kiedy ta opcja jest włączona, sesja użytkownika wygaśnie, jeśli użytkownik będzie bezczynny przez określony czas.
• Pomijaj MFA, gdy serwer ADSelfService Plus jest niedostępny: Włącz tę opcję, jeśli chcesz uniknąć sytuacji, w których użytkownicy nie mogą uzyskać dostępu do Outlook Web Access (OWA) lub centrum administracyjnego Exchange, gdy serwer ADSelfService Plus jest niedostępny. Jednak pamiętaj, że włączenie tej opcji oznacza rezygnację z zaawansowanej warstwy zabezpieczeń MFA, gdy serwer ADSelfService Plus jest niedostępny, co nie jest zalecane. Aby uniknąć takich sytuacji, wdroż ADSelfService Plus z wysoką dostępnością lub równoważeniem obciążenia.
• Domyślnie zaznacz opcję "Zaufaj temu przeglądarki": Włączając tę opcję, możesz domyślnie zaznaczyć pole obok "Zaufaj temu przeglądarki" na ekranie uwierzytelniania MFA.
• Wygaszenie zaufania do przeglądarki po __ dniach: Kiedy ta opcja jest włączona, użytkownicy, którzy raz zalogowali się używając MFA do OWA, mogą pominąć proces uwierzytelniania MFA podczas kolejnych logowań. Włączenie tej opcji pomoże użytkownikom uniknąć przechodzenia przez proces MFA za każdym razem, gdy logują się do OWA lub centrum administracyjnego Exchange z tej samej przeglądarki. Status zaufanej przeglądarki zostanie cofnięty po określonej liczbie dni.

MFA logowania VPN

Uwaga: MFA dla logowania VPN wymaga edycji profesjonalnej ADSelfService Plus z Endpoint MFA.

• Utrzymuj ważność sesji MFA VPN przez __ minut: Włączenie tej opcji ustawi limit czasowy dla uwierzytelnienia drugiego czynnika podczas logowania do VPN. Powiedzmy, że ustawisz to na 2 minuty, użytkownicy muszą wprowadzić kod lub zatwierdzić powiadomienie, zgodnie z włączoną metodą uwierzytelnienia, w ciągu 2 minut.

Uwaga: Jeśli Twój serwer VPN pozwala na skonfigurowanie limitu czasu RADIUS, ustaw go na wartość większą niż limit czasowy sesji, który konfigurujesz w tej opcji.

• Pomijaj MFA, gdy serwer ADSelfService Plus jest niedostępny lub zdalny: Włącz tę opcję, jeśli nie chcesz, aby użytkownicy zostali uwięzieni na ekranie logowania podczas logowania do VPN, gdy serwer ADSelfService Plus jest niedostępny.
• Pomijaj MFA, gdy użytkownik nie jest zarejestrowany dla wymaganych uwierzytelniaczy: Włącz tę opcję, aby pozwolić użytkownikom, którzy nie zarejestrowali się dla metod uwierzytelniania wymaganych do logowania do VPN, pominąć MFA.
• Wyślij dodatkowe atrybuty jako odpowiedź do serwera VPN po udanym MFA: Włącz tę opcję, jeśli chcesz wysłać dodatkowe atrybuty do serwera VPN lub innych punktów końcowych RADIUS. Te atrybuty będą wysyłane do dostawcy VPN tylko po udanym MFA i będą wykorzystywane przez serwer VPN do określenia poziomu dostępu, jaki każdy użytkownik powinien mieć lub do innych celów. Pełną listę obsługiwanych atrybutów znajdziesz w dokumentacji otrzymanej od swojego dostawcy VPN.

Uwaga: Proszę zaktualizować rozszerzenie NPS do wersji 2.3 lub nowszej, aby skorzystać z tej funkcji.

Konfigurowanie dodatkowych atrybutów

1. Jeśli spróbujesz włączyć tę funkcję przed skonfigurowaniem atrybutów, pojawi się okno, w którym będziesz mógł je skonfigurować. Kliknij OK. Możesz również kliknąć link Skonfiguruj atrybuty.
2. Możesz skonfigurować atrybuty Standardowe lub Specyficzne dla dostawcy RADIUS oraz odpowiadające im wartości, które będą wysyłane do dostawców VPN (innych punktów końcowych RADIUS).



3. Wprowadź ID dostawcy, klikając przycisk Edytuj [ ]. ID dostawcy to unikalny numer, który oznacza Twojego dostawcę VPN. Na przykład, używając Fortigate, ID dostawcy to 12356.
4. Wybierz Rodzaj atrybutu i wprowadź Numer atrybutu, Format oraz Wartość w wyświetlonych polach.

Dla atrybutów w formacie string, wartości powinny być w znakach, a dla atrybutów w formacie int, wartości powinny być w liczbach całkowitych.

Dla atrybutów enum, które zawierają wiele z góry zdefiniowanych wartości, podaj pożądaną wartość w postaci ich powiązanych liczb całkowitych. Na przykład, jeśli chcesz użyć Login jako atrybutu typ-usługi, wpisz 1 w polu Wartość.

W przypadku, gdy atrybuty są w formatach adresów IPv4 lub IPv6, proszę podać ważny adres IP w polu Wartość.

Na przykład, Twój adres IPv4 może wyglądać jak "10.1.1.1", a Twój adres IPv6 może wyglądać jak "2001:0db8:85a3::8a2e:0370:7334".

5. Kliknij OK po skonfigurowaniu wszystkich wymaganych atrybutów.
6. Po pomyślnym skonfigurowaniu, Wysyłaj dodatkowe atrybuty jako odpowiedź do serwera VPN po pomyślnym zakończeniu ustawienia MFA.

Logowanie do aplikacji w chmurze MFA

• Włącz logowanie bezhasłowe: To ustawienie pozwala użytkownikom uzyskać dostęp do aplikacji oraz portalu samoobsługowego bez hasła. Proszę odwołać się do tej strony po więcej informacji.

Uwaga: Logowanie bezhasłowe do aplikacji w chmurze wymaga Profesjonalnej Edycji ADSelfService Plus z Endpoint MFA.

Proszę pamiętać, że ustawienie 'Ufaj tej przeglądarce' będzie wyłączone dla użytkowników, dla których włączono logowanie bezhasłowe, aby uniknąć luk w zabezpieczeniach. Gdy logowanie bezhasłowe jest egzekwowane, użytkownik musi uwierzytelnić się za każdym razem, gdy próbuje uzyskać dostęp do aplikacji.

• Ogranicz czas bezczynności MFA podczas logowania do aplikacji w chmurze do <text_field> min: Włączenie tego ustawienia ustawi limit czasowy dla użytkowników na zakończenie procesu MFA.
• Wymuszaj rejestrację dla nieznalezionych użytkowników po pomyślnej weryfikacji hasła: Gdy to ustawienie jest włączone, użytkownicy nie będą zmuszani do przechodzenia przez MFA podczas pierwszego logowania. Zamiast tego zostaną poproszeni o przejście przez rejestrację po pomyślnej weryfikacji hasła.
• Wymuszaj rejestrację po pomyślnym MFA dla uwierzytelniaczy wybranych dla innych punktów końcowych: Włączenie tego ustawienia zapewnia, że użytkownicy rejestrują się ze wszystkimi koniecznymi uwierzytelniaczami, które są wymagane nie tylko do logowania do aplikacji w chmurze, ale również do MFA podczas resetowania hasła oraz odblokowania konta, a także dla logowania do maszyn, VPN, OWA i ADSelfService Plus. Rejestracja jest również wymagana dla uwierzytelniaczy ustawionych jako obowiązkowe w zakładce Rejestracja MFA.
• Domyślnie wybierz opcję 'Ufaj tej przeglądarce': Gdy ta opcja jest włączona, pole wyboru 'Ufaj tej przeglądarce' będzie domyślnie zaznaczone na ekranie weryfikacji MFA.
• Wygasaj zaufanie dla przeglądarki po ___ dniu/dniach: Gdy ta opcja jest włączona, użytkownicy nie będą musieli przechodzić przez MFA przez określoną liczbę dni, gdy logują się do ADSelfService Plus przy użyciu zaufanych przeglądarek.

MFA aplikacji

Logowanie do ADSelfService Plus MFA

• Włącz logowania bezhasłowe: To ustawienie pozwala użytkownikom uzyskać dostęp do aplikacji oraz portalu samoobsługowego bez hasła. Proszę odwołać się do tej strony po więcej informacji.

Uwaga: Proszę pamiętać, że ustawienie Ufaj tej przeglądarce będzie wyłączone dla użytkowników, dla których włączono logowanie bezhasłowe, aby uniknąć luk w zabezpieczeniach. Gdy logowanie bezhasłowe jest egzekwowane, użytkownik musi uwierzytelnić się za każdym razem, gdy próbuje uzyskać dostęp do aplikacji.

• Ogranicz czas bezczynności MFA podczas logowania do portalu ADSelfService Plus do <text_field> min: Włączenie tego ustawienia ustawi limit czasowy dla użytkowników na zakończenie procesu wieloczynnikowego uwierzytelniania (MFA).
• Wymuszaj rejestrację dla nieznalezionych użytkowników po pomyślnej weryfikacji hasła: Gdy ta opcja jest włączona, użytkownicy nie będą zmuszani do przechodzenia przez MFA podczas pierwszego logowania. Zamiast tego zostaną poproszeni o przejście przez rejestrację po pomyślnej weryfikacji hasła.
• Wymuś rejestrację po pomyślnym MFA dla uwierzytelniaczy wybranych dla innych punktów końcowych: Włączenie tej opcji zapewnia, że użytkownicy rejestrują się z wszystkimi uwierzytelniaczami wymaganymi nie tylko do logowania się do ADSelfService Plus, ale także do MFA podczas resetowania hasła i odblokowywania konta, a także podczas logowania się do maszyn, VPN, OWA i aplikacji w chmurze. Rejestracja jest również wymagana dla uwierzytelniaczy ustawionych jako obowiązkowe na karcie Rejestracja MFA.
• Zachowaj domyślnie wybraną opcję 'Zaufaj tej przeglądarce': Gdy ta opcja jest włączona, pole wyboru "Zaufaj tej przeglądarce" będzie domyślnie zaznaczone na ekranie weryfikacji MFA.
• Wygaszenie zaufania dla przeglądarki po ___ dniach: Gdy ta opcja jest włączona, użytkownicy nie będą proszeni o przechodzenie przez MFA przez określoną liczbę dni, gdy logują się do ADSelfService Plus za pomocą zaufanych urządzeń.

Ustawienia Q&A

Ustawienia pytań

• Wyświetl __ pytania zabezpieczające z <no_of_available_questions> losowo: Dzięki tej opcji możesz określić liczbę pytań, które mają zostać wyświetlone użytkownikowi końcowemu. Pytania będą losowo wybierane przez ADSelfService Plus z dostępnej listy pytań zabezpieczających skonfigurowanej w Ustawieniach pytań i odpowiedzi zabezpieczających.
• Wyświetl __ pytania zabezpieczające AD z <no_of_available_questions> losowo: Wybierz tę opcję, aby określić liczbę pytań zabezpieczających AD, które mają być zadawane podczas procesu weryfikacji tożsamości. Pytania będą losowo wybierane przez ADSelfService Plus z dostępnej listy pytań zabezpieczających skonfigurowanej w Ustawieniach pytań zabezpieczających AD.
• Wyświetlaj pytania zabezpieczające jedno po drugim: Zaznaczenie tej opcji spowoduje wyświetlanie pytań zabezpieczających jedno po drugim (tzn. jedno pytanie na stronę).
• Wyświetlaj wszystkie pytania zabezpieczające jednocześnie: Wybór tej opcji spowoduje wyświetlenie wszystkich pytań zabezpieczających na jednej stronie.

Ustawienia odpowiedzi

• Weryfikuj tożsamość użytkowników za pomocą odpowiedzi rozróżniających wielkość liter na pytania zabezpieczające: Wybór tej opcji wymusza rozróżnianie wielkości liter dla odpowiedzi podanych przez użytkowników.
• Ukryj odpowiedzi zabezpieczające podczas uwierzytelniania: Wybór tej opcji domyślnie ukryje odpowiedzi zabezpieczające.

Wzmacniacze odpowiedzi (tylko dla pytania i odpowiedzi zabezpieczające)

• Zapobiegaj użytkownikom podawania nazw użytkowników jako odpowiedzi: To uniemożliwi użytkownikom używanie swojej nazwy użytkownika jako odpowiedzi.
• Zapobiegaj użytkownikom podawania tej samej odpowiedzi na wiele pytań: To uniemożliwi użytkownikom podawanie tej samej odpowiedzi na wiele pytań.
• Zapobiegaj użytkownikom używania dowolnego słowa w pytaniu zabezpieczającym w ich odpowiedziach: To uniemożliwi użytkownikom kopiowanie słów z pytań jako odpowiedzi.
• Wymuś, aby użytkownicy używali tylko znaków angielskich (a-z), cyfr (0-9) i symboli: To zapewni, że użytkownicy będą używać tylko znaków alfanumerycznych i symboli w swoich odpowiedziach.
• Przechowuj odpowiedzi zabezpieczające z użyciem szyfrowania odwracalnego: Wybierając tę opcję, odpowiedzi zabezpieczające zostaną zapisane jako zwykły tekst w bazie danych ADSelfService Plus. Odpowiedzi można przeglądać za pomocą raportu Odpowiedzi na pytania zabezpieczające.
• Przechowuj odpowiedzi zabezpieczające używając algorytmu ___ Wybierz tę opcję, aby zaszyfrować i przechować odpowiedzi na pytania zabezpieczające przy użyciu algorytmu MD5 lub SHA-512.

Ustawienia kodu weryfikacyjnego

Atrybuty mailowe/mobilne

• Wybierz typ atrybutu (Mail lub Mobilny) który chcesz wyświetlić z rozwijanej listy Wybierz typ.
• Kliknij Dodaj atrybut, aby dodać nowy atrybut zawierający adresy e-mail lub numery telefonów użytkowników.

Poboczny adres e-mail / numer mobilny

• Zapobiegaj rejestracji już zarejestrowanych <rozwijana lista>: Użyj tej opcji, aby zapobiec wielu użytkownikom rejestracji z tym samym adresem e-mail pobocznym i/lub numerem mobilnym w całym produkcie.
Uwaga:
• Sprawdzanie duplikatów jest przeprowadzane na poziomie produktu, jeśli flaga jest włączona dla polityki, a użytkownik podlega tej polityce. Nie weryfikujemy wartości rejestracji z podstawowymi danymi AD (e-mail/mobilne). Zajmujemy się wyłącznie kontrolą duplikatów w danych drugorzędnych rejestracji.
• Ten sam numer telefonu może być używany do rejestracji przez dwóch użytkowników, o ile formaty numerów mobilnych są różne. Nie będą one uznawane za duplikaty. Na przykład, jeśli użytkownik już zarejestrował się z numerem 000-111-222, inny użytkownik może zarejestrować się z 0001-11-222, pod warunkiem, że ten format jest dozwolony. Nie będzie on uznawany za duplikat.



• Zezwól lub zablokuj adresy e-mail z następujących domen <rozwijana lista domen>: Użyj tej opcji, aby zablokować lub zezwolić na szczególne domeny e-mailowe. Jeśli wybierzesz Zablokuj, użytkownicy będą mogli dodawać adresy e-mail z dowolnej domeny, z wyjątkiem wymienionej domen(y). Wybierając Zezwól, upewnisz się, że tylko zaufani dostawcy usług e-mail będą wykorzystywani przez użytkowników do odbierania kodów weryfikacyjnych. Możesz pozostawić to pole puste, aby zezwolić na dowolną domenę po wybraniu "Zezwól".
• Zezwól lub zablokuj następujące formaty numerów mobilnych __: Użyj tej opcji, aby zablokować lub zezwolić na szczególne formaty numerów mobilnych. Jeśli wybierzesz Zablokuj, użytkownicy będą mogli dodawać numery mobilne w dowolnym formacie, z wyjątkiem wymienionego formatu(y). Wybierając Zezwól, zapewnisz, że użytkownicy wprowadzą numery mobilne tylko w określonym formacie(y), który został skonfigurowany. Możesz pozostawić to pole puste, aby zezwolić na dowolny format po wybraniu Zezwól.
Uwaga: Jeśli nie chcesz, aby użytkownicy rejestrowali poboczny adres e-mail i numer mobilny, wyłącz te ustawienia:
• Zezwól lub zablokuj adresy e-mail z następujących domen __
• Zezwól lub zablokuj następujące formaty numerów mobilnych __
• Wybierz egzekwowanie: Użyj tego ustawienia, aby skonfigurować, czy dodawanie pobocznych adresów e-mail i numerów mobilnych jest obowiązkowe, czy opcjonalne dla użytkowników. Dostępne opcje to:
• Uczyń tę rejestrację opcjonalną.
• Wymuś na użytkownikach rejestrację adresu e-mail.
• Wymuś na użytkownikach zarejestrowanie numeru telefonu komórkowego.
• Wymuś na użytkownikach zarejestrowanie zarówno adresu e-mail, jak i numeru telefonu komórkowego.
• Zapobiegaj rejestracji już zarejestrowanych <drop-down>: Użyj tej opcji, aby zapobiec wielokrotnej rejestracji różnych użytkowników z tym samym adresem e-mail (drugorzędnym) i/lub numerem telefonu (komórkowego) w całym produkcie.

Inne

• Ustaw długość kodu weryfikacyjnego na ___ cyfr: Użyj tego ustawienia, aby ustawić liczbę cyfr w kodzie weryfikacyjnym.
• Pokaż 'Wybierz ID e-mail/Numer telefonu' jako wartość domyślną w rozwijanej liście e-mail/telefon: Włączenie tej opcji spowoduje, że Wybierz ID e-mail/Numer telefonu będzie domyślną wartością w rozwijanej liście e-mail/telefon podczas weryfikacji tożsamości.
• Partialne ukrycie ID e-mail i numeru telefonu na stronach MFA: Ta opcja częściowo ukryje adres e-mail oraz numer telefonu użytkownika w trakcie procesu weryfikacji tożsamości.
• Pomijaj krok 'Wybierz adres e-mail/Numer telefonu' i automatycznie wyzwól kod weryfikacyjny: W niektórych przypadkach użytkownik mógł zarejestrować się w ADSelfService Plus z wieloma adresami e-mail lub numerami telefonów. Domyślnie produkt pokazuje użytkownikowi rozwijaną listę do wyboru adresu e-mail lub numeru telefonu, na który ma zostać wysłany kod weryfikacyjny. Jednak gdy zaznaczona jest opcja Wybierz adres e-mail/Numer telefonu i automatycznie wyzwól kod weryfikacyjny, ta rozwijana lista nie jest wyświetlana, a kod jest wysyłany bezpośrednio na główny adres e-mail użytkownika, który jest określony na podstawie:
• Adres e-mail lub numer telefonu podany przez użytkownika podczas samodzielnej rejestracji lub przez administratora podczas automatycznej rejestracji za pomocą CSV lub zewnętrznych baz danych (czegokolwiek najnowszego).
• Adresy e-mail lub numery telefonu powiązane z obiektem użytkownika w Active Directory. Administratorzy mogą skonfigurować atrybuty e-mailowe lub telefoniczne, które mają być używane w danej polityce, korzystając z sekcji Zaawansowane ustawień MFA, jak pokazano na zrzucie ekranu poniżej. Aby je znaleźć w GUI produktu, zaloguj się do portalu administracyjnego produktu i przejdź do Konfiguracja > Samoobsługa > Uwierzytelnianie wieloskładnikowe (MFA) > zakładka Zaawansowane > Kod weryfikacyjny > Atrybuty e-mailowe/telefoniczne.

• Dodaj administratora/menedżera w e-mailu weryfikacyjnym wysyłanym do użytkowników: Użyj tego ustawienia, aby do linii CC e-maila z kodem weryfikacyjnym wysyłanego do użytkownika dołączyć adres e-mail menedżera lub administratora użytkownika. Aby to osiągnąć,
• Zaznacz pole obok tego ustawienia.
• Wprowadź adres e-mail administratora w polu ID e-maila.
• Kliknij Dodaj menedżera, aby dodać adres e-mail menedżera użytkownika.

Poprzedni temat Następny temat