Приложение. Файлы конфигурации
Конфигурационный файл extension.access-policy.json позволяет настроить правила доступа к ресурсам защищенного домена.
Файл содержит следующие параметры:
| Параметр | Значение |
|---|---|
Id | Уникальный идентификатор политики. Если не указан явно, генерируется автоматически. |
Enabled | Параметр используется для включения или отключения правила. |
Conditions:Generic:AuthenticationProtocols | Правило распространяется на тот протокол, который указан в этом параметре. Доступные значения: All, Kerberos, Ldap. |
Conditions:Generic:Principals:Identities | Уникальные идентификаторы субъектов доступа, на которых распространяется правило. Указываются значения атрибутов objectGUID из Active Directory. |
Conditions:Generic:Principals:Groups | Уникальные идентификаторы групп, на участников которых распространяется правило. Указывается массив значений атрибутов objectGUID этих групп из Active Directory. Если вы указываете группу с вложенными дочерними группами, правило распространится на участников самой группы и ее дочерних групп. |
Conditions:Generic:Principals:Folders | Уникальные идентификаторы контейнеров или подразделений (Organizational Unit), в которых расположены субъекты доступа, на которых распространяется правило. Указывается массив значений атрибутов objectGUID контейнеров или подразделений (Organizational Unit). |
Conditions:Kerberos:SourceEndPoints | Источники активности субъектов доступа, на которых распространяется правило. Указываются IP-адреса машин, на которых выполняется запрос доступа. Указывается в следующих форматах: - сеть — символ n, за которым следует описание пространства IP-адресов в формате CIDR (пример: n208.128.0.0/11)- диапазон — символ r, за которым следует интервал адресов (пример: r[0.0.0.1;0.0.0.2])- единичный IP-адрес — символ s, за которым следует один адрес (пример: s0.0.0.1). |
Conditions:Kerberos:ResourceIdentifiers | Идентификаторы ресурсов, на которые распространяется правило. Указывается в формате имени субъекта-службы (SPN). При указании идентификаторов ресурсов (SPN) политика применяется к учетной записи, с которой связаны указанные ресурсы. |
Conditions:Kerberos:ResourceServiceAccounts | Набор значений objectGUID учетных записей, от имени которых запущен ресурс (сервис). |
Conditions:Ldap:ResourceEndPoints | Перечисление ресурсов, на которые распространяется правило. Указывается в следующих форматах: - сеть — символ n, за которым следует описание пространства IP-адресов в формате CIDR (пример: n208.128.0.0/11)- диапазон — символ r, за которым следует интервал адресов (пример: r[0.0.0.1;0.0.0.2])- единичный IP-адрес — символ s, за которым следует один адрес (пример: s0.0.0.1). |
Conditions:Actions:Restrict | Указанные в этом параметре значения описывают, какое решение о предоставлении доступа принимается в этом правиле: DenyAlways — блокировать доступ, AdditionalAuthenticationByMobilePhone — запросить подтверждение push-уведомления. |