Ostatnia aktualizacja dnia February 11 2026
Polityka Geolocation Policy pozwala organizacjom określić, jak powinno wyglądać uwierzytelnianie użytkownika w zależności od kraju, z którego użytkownik próbuje się zalogować. Dostępne są trzy niezależne opcje konfiguracyjne, które można stosować osobno lub łączyć w ramach jednej polityki:
- Bypass MFA – użytkownicy logujący się z wybranych krajów mogą uwierzytelnić się bez MFA.
- Enforce MFA – użytkownicy logujący się z wybranych krajów muszą przejść MFA, niezależnie od innych polityk, które normalnie mogłyby ich pominąć (np. Remembered Devices, Authorized Networks).
- Deny Access – użytkownicy logujący się z wybranych krajów są całkowicie blokowani przed dostępem do aplikacji.
Opcje te mogą być używane samodzielnie w prostych scenariuszach lub łączone, aby tworzyć bardziej zaawansowane, warstwowe polityki kontroli dostępu.
Priorytet uwierzytelniania (kolejność ewaluacji)
| Priorytet | Co jest oceniane | Opis | Wynik |
| 1 (najwyższy) | Status użytkownika (Użytkownik + Grupa) | Określa, czy użytkownik ma status Active, Bypass czy Deny. Ta warstwa jest zawsze oceniana jako pierwsza. | – Deny → dostęp blokowany natychmiast, geolokalizacja ignorowana. – Bypass → MFA pomijane natychmiast, geolokalizacja ignorowana. – Active → przejdź do polityki Geolocation Policy. |
| 2 | Geolocation Policy | Stosowana wyłącznie wobec użytkowników, których status to Active. | – Bypass MFA → użytkownik pomija MFA. – Enforce MFA → użytkownik musi przejść przez MFA. – Deny Access → użytkownik zostaje zablokowany. |
| 3 (najniższy) | Inne polityki (np. Remembered Devices, Authorized Networks) | Dodatkowe polityki uwierzytelniania oceniane tylko wtedy, gdy użytkownik nie został wcześniej zablokowany, pominięty lub nie został mu narzucony obowiązek wykonania MFA przez wcześniejsze etapy. | Te polityki mają zastosowanie wyłącznie wtedy, gdy żaden wyższy priorytet (Status użytkownika lub Geolocation Policy: Deny, Bypass lub Enforce MFA) nie określił już wyniku procesu uwierzytelniania. |
Używanie polityki Geolocation Policy w Application Policy vs. Group Policy
Ustawienia geolokalizacji mogą być stosowane na dwa sposoby:
- Application Policy – wpływa na wszystkich użytkowników logujących się do danej aplikacji.
- Group Policy – wpływa wyłącznie na użytkowników należących do określonej grupy (np. IT Admins, Contractors, Remote Workers).
Stosowanie Geolocation Policy w ramach Group Policy pozwala organizacjom nakładać zasady oparte na lokalizacji tylko na wybranych użytkowników, co umożliwia bardziej granularną i dostosowaną do ról kontrolę dostępu.
Przykłady dotyczące Application Policy znajdziesz w przypadkach użycia opisanych na tej stronie. Przykład dotyczący Group Policy znajduje się w Common Group Policy Use Cases.
Szczegóły dotyczące integracji & znane ograniczenia
Rublon Authentication Proxy
W skrócie
Polityka Geolocation Policy działa poprawnie z usługą Rublon Authentication Proxy wyłącznie wtedy, gdy usługa pracuje w trybie RADIUS Proxy, a integracja przekazuje atrybut Calling-Station-Id.
We wszystkich pozostałych przypadkach (zwłaszcza w trybie LDAP Proxy) polityka Geolocation Policy nie będzie działała zgodnie z przeznaczeniem z powodu braku rzeczywistego adresu IP użytkownika.
Szczegółowe omówienie
Usługa Rublon Authentication Proxy obsługuje dwa tryby integracji: RADIUS Proxy oraz LDAP Proxy, a sposób przekazywania adresu IP klienta znacząco różni się między nimi. Ma to bezpośredni wpływ na działanie polityki Geolocation Policy.
- Działając jako RADIUS Proxy, usługa Rublon Auth Proxy przekazuje adres IP użytkownika na podstawie atrybutów zawartych w przychodzącym żądaniu RADIUS:
- Jeśli żądanie RADIUS zawiera atrybut Calling-Station-Id, usługa Auth Proxy używa jego wartości jako adresu IP użytkownika. Umożliwia to dokładną geolokalizację, pod warunkiem że integrowana aplikacja lub urządzenie jest skonfigurowane do wysyłania tego atrybutu.
- Jeśli atrybut Calling-Station-Id jest nieobecny, usługa Auth Proxy wykorzystuje adres IP systemu, który wysłał żądanie RADIUS (serwera integracji).
- Działając jako LDAP Proxy, usługa Rublon Auth Proxy zawsze przekazuje adres IP serwera integracji, a nie rzeczywisty adres IP użytkownika. To ograniczenie wynika z działania samego protokołu LDAP: integracje nie przesyłają źródłowego adresu IP użytkownika, więc usługa Rublon Auth Proxy nie może go pozyskać ani odtworzyć. W rezultacie dokładna geolokalizacja w tym trybie nie jest możliwa.
Rublon MFA dla Linux SSH
W konektorze Rublon MFA dla SSH rzeczywisty adres IP użytkownika jest dostępny wyłącznie podczas zdalnych połączeń SSH z innego hosta. We wszystkich pozostałych scenariuszach (takich jak SSH z localhosta, sudo czy su) system operacyjny nie udostępnia zdalnego adresu IP użytkownika, dlatego konektor raportuje adres IP hosta. Jest to oczekiwane zachowanie systemu Linux, a nie ograniczenie rozwiązania Rublon MFA.
Uruchomienie połączenia RDP za pośrednictwem Remote Desktop Gateway (RDG)
Gdy połączenie RDP uruchamiane jest przez usługę RD Gateway, rzeczywisty adres IP klienta nie jest przekazywany do hosta docelowego, co uniemożliwia politykom Authorized Networks oraz Geolocation ocenę faktycznego adresu IP użytkownika.
Więcej informacji: Dlaczego polityki oparte na adresie IP (Sieci autoryzowane oraz Geolokalizacja) nie działają dla połączeń RDP przez RD Gateway?
Przypadek użycia: Pomijaj uwierzytelnianie MFA dla użytkowników z zaufanych krajów
Scenariusz
Organizacja chce umożliwić użytkownikom logującym się z wybranych, zaufanych krajów dostęp do aplikacji bez konieczności przechodzenia przez proces MFA, aby uprościć logowanie i zmniejszyć liczbę kroków uwierzytelniania.
Wyzwanie
Zachować wysoki poziom bezpieczeństwa, jednocześnie ograniczając liczbę wymagań MFA dla użytkowników logujących się z przewidywalnych i bezpiecznych lokalizacji geograficznych
Rozwiązanie
Wdrożenie polityki Geolocation i skonfigurowanie jej tak, aby wskazane kraje zostały oznaczone jako Bypass MFA, co pozwoli użytkownikom logującym się z tych lokalizacji pominąć dodatkowy krok uwierzytelniania.
Korzyści
- Uproszczone logowanie dla użytkowników w zaufanych krajach.
- Zmniejszone obciążenie działu wsparcia dzięki mniejszej liczbie zapytań dotyczących MFA.
- Lepsza wygoda użytkowników z wybranych państw bez obniżania poziomu bezpieczeństwa dla innych użytkowników.
- Precyzyjna kontrola nad tym, gdzie uwierzytelnianie MFA jest wymagane, a gdzie może być pominięte.
Instrukcja konfiguracji krok po kroku
1. Zaloguj się do konsoli Rublon Admin Console.
2. W zakładce Policies (Polityki), utwórz politykę o nazwie Bypass MFA for Trusted Countries i ustaw w niej następujące opcje:
- Bypass MFA: wybierz kraje, dla których MFA ma być zawsze pomijane
(Zobacz: Jak utworzyć nową politykę i Geolokalizacja).
Uwaga: Polityka Geolocation Policy nie ignoruje statusów użytkowników. Jeśli użytkownik ma status Deny lub Bypass wynikający z ustawień na poziomie użytkownika lub grupy, status ten ma priorytet w stosunku do polityki Geolocation Policy. Polityka będzie obowiązywać wyłącznie dla użytkowników o statusie Active.
3. W zakładce Applications (Aplikacje), przypisz politykę Bypass MFA for Trusted Countries jako politykę aplikacji do jednej lub kilku aplikacji. (Zobacz: Jak przypisać politykę aplikacji do aplikacji)
4. Od teraz polityka Bypass MFA for Trusted Countries ma zastosowanie do jednej lub więcej aplikacji, do których została przypisana, sprawiając, że użytkownicy logujący się z wybranych zaufanych krajów będą mogli uzyskać dostęp do aplikacji bez konieczności przechodzenia przez uwierzytelnianie wieloczynnikowe (MFA).
Przypadek użycia 2: Wymuszaj uwierzytelnainie MFA dla użytkowników z wybranych państw
Scenariusz
Organizacja chce zawsze wymuszać uwierzytelnianie MFA dla użytkowników logujących się z wybranych krajów, niezależnie od innych obowiązujących polityk (jak Authorized Networks czy Remembered Devices).
Wyzwanie
Zapewnić, aby użytkownicy logujący się z określonych lokalizacji geograficznych zawsze przechodzili MFA, nawet jeśli inne polityki mogłyby ich pominąć.
Rozwiązanie
Wdrożenie polityki Geolocation i skonfigurowanie jej tak, aby wymuszała MFA dla wybranych krajów, ignorując inne polityki dotyczące pomijania MFA.
Korzyści
- Wzmocniona ochrona kont dzięki obowiązkowemu MFA w regionach o podwyższonym ryzyku.
- Zwiększona odporność na ataki pochodzące z lokalizacji, w których częściej dochodzi do przejęć kont.
- Uproszczone zarządzanie bezpieczeństwem dzięki jednej regule geolokalizacji wymuszającej MFA dla wskazanych krajów.
Instrukcja konfiguracji krok po kroku
1. Zaloguj się do konsoli Rublon Admin Console.
2. W zakładce Policies (Polityki), utwórz politykę o nazwie Enforce MFA for Selected Countries i ustaw w niej następujące opcje:
- Enforce MFA: wybierz kraje, dla których MFA ma być zawsze wymagane
(Zobacz: Jak utworzyć nową politykę i Geolokalizacja).
Uwaga: Polityka Geolocation Policy nie ignoruje statusów użytkowników. Jeśli użytkownik ma status Deny lub Bypass wynikający z ustawień na poziomie użytkownika lub grupy, status ten ma priorytet w stosunku do polityki Geolocation Policy. Polityka będzie obowiązywać wyłącznie dla użytkowników o statusie Active.
3. W zakładce Applications (Aplikacje), przypisz politykę Enforce MFA for Selected Countries jako politykę aplikacji do jednej lub kilku aplikacji. (Zobacz: Jak przypisać politykę aplikacji do aplikacji)
4. Od teraz polityka Enforce MFA for Selected Countries ma zastosowanie do jednej lub więcej aplikacji, do których została przypisana, wymuszając MFA dla użytkowników logujących się z wybranych krajów, niezależnie od innych polityk.
Przypadek użycia 3: Blokuj dostęp dla użytkowników z wybranych krajów
Scenariusz
Organizacja chce uniemożliwić użytkownikom logowanie się z określonych krajów wysokiego ryzyka, jednocześnie umożliwiając uwierzytelnianie ze wszystkich pozostałych lokalizacji.
Wyzwanie
Blokuj próby uwierzytelnienia pochodzące z wybranych krajów, zapewniając jednocześnie normalny dostęp użytkownikom z pozostałych regionów.
Rozwiązanie
Wdrożenie polityki Geolocation i skonfigurowanie jej tak, aby blokowała kraje wysokiego ryzyka.
Korzyści
- Mniejsza ekspozycja na regiony wysokiego ryzyka dzięki blokowaniu prób uwierzytelniania z wybranych krajów.
- Wzmocniona postura bezpieczeństwa poprzez uniemożliwienie nieautoryzowanego dostępu z lokalizacji znanych jako źródła zagrożeń.
- Uproszczona kontrola dostępu dzięki jednej regule geolokalizacji zarządzającej blokowanymi regionami.
Instrukcja konfiguracji krok po kroku
1. Zaloguj się do konsoli Rublon Admin Console.
2. W zakładce Policies (Polityki), utwórz politykę o nazwie Block Selected Countries i ustaw w niej następujące opcje:
- Deny Access: Wybierz państwa, które chcesz zablokować
(Zobacz: Jak utworzyć nową politykę i Geolokalizacja).
3. W zakładce Applications (Aplikacje), przypisz politykę Allow Poland Only jako politykę aplikacji do jednej lub kilku aplikacji. (Zobacz: Jak przypisać politykę aplikacji do aplikacji)
4. Od teraz polityka Allow Poland Only ma zastosowanie do jednej lub więcej aplikacji, do których została przypisana, co w efekcie ograniczy dostęp wyłącznie do pracowników logujących się z Polski i uniemożliwi dostęp osobom logującym się z innych państw.
Przypadek użycia 4: Dopuszczaj użytkowników tylko z jednego konkretnego państwa
Scenariusz
Organizacja chce zezwolić na dostęp tylko użytkownikom z Polski i odmówić dostępu użytkownikom z innych krajów. Użytkownicy z Polski muszą przejść proces uwierzytelniania wieloskładnikowego (MFA) o ile nie pomija ich inna polityka (jak polityka Authorized Networks) albo ich status użytkownika.
Wyzwanie
Wymuś uwierzytelnianie wieloskładnikowe (MFA) dla użytkowników z Polski. Odmów dostępu użytkownikom z innych krajów.
Rozwiązanie
Wdrożenie polityki Geolocation i skonfigurowanie jej tak, aby zezwalała na zalogowanie tylko użytkownikom z Polski, odmawiając dostępu użytkownikom z innych krajów.
Korzyści
- Zmniejszona powierzchnia ataku dzięki blokowaniu wszystkich prób uwierzytelnienia pochodzących spoza zatwierdzonego kraju.
- Wzmocniona zgodność regulacyjna dzięki egzekwowaniu ścisłych kontroli dostępu geograficznego zgodnych z zasadami organizacji.
- Uproszczone zarządzanie politykami dzięki jednej regule geolokalizacji, która kontroluje zarówno regiony dozwolone, jak i zabronione.
Instrukcja konfiguracji krok po kroku
1. Zaloguj się do konsoli Rublon Admin Console.
2. W zakładce Policies (Polityki), utwórz politykę o nazwie Allow Poland Only i ustaw w niej następujące opcje:
- Deny Access: Wybierz wszystkie państwa poza Polską
(Zobacz: Jak utworzyć nową politykę i Geolokalizacja)
Uwaga: Jeśli dodatkowo chcesz, żeby użytkownicy z Polski nie musieli przechodzić uwierzytelniania MFA (byli pomijani), wybierz Poland w sekcji Bypass MFA.
Jeśli dodatkowo chcesz wymusić MFA na użytkownikach z Polski niezależnie od ustawień innych polityk (takich jak polityka Authorized Networks), wybierz Poland w Enforce MFA.
3. W zakładce Applications (Aplikacje), przypisz politykę Allow Poland Only jako politykę aplikacji do jednej lub kilku aplikacji. (Zobacz: Jak przypisać politykę aplikacji do aplikacji)
4. Od teraz polityka Allow Poland Only ma zastosowanie do jednej lub więcej aplikacji, do których została przypisana, co w efekcie ograniczy dostęp wyłącznie do pracowników logujących się z Polski i uniemożliwi dostęp osobom logującym się z innych państw.
