Укажите MFA на основе user-agent в AD FS?
Можно ли форсировать конкретного поставщика MFA на основе агента пользователя (идеальный) или IP-адреса (менее идеальный) в AD FS? В качестве альтернативы, есть ли другой бесплатный SAML IdP, который позволил бы это? Читайте ниже, почему, если есть еще один вариант, который мне не хватает:
Я использую AD FS 3.0 в качестве SAML 2.0 IdP для облачной службы, используемой внутри компании. Я включил MFA, используя встроенную проверку подлинности Windows, и я также включил сертификаты в качестве второго фактора.
Это прекрасно работает на рабочих столах, присоединяемых к домену. После входа пользователя в Windows они автоматически входят в облачную службу, если они имеют действительный сертификат. Им не нужно ничего делать для аутентификации, и это потрясающе.
Этот облачный сервис предоставляет мобильное приложение для устройств iOS и Android. Мобильное приложение использует встроенный браузер для аутентификации. Во время проверки подлинности при перенаправлении на IdP AD FS возвращается к проверке подлинности на основе форм, что вполне нормально. Однако когда AD FS запрашивает сертификат клиента, встроенный браузер в этих приложениях зависает. Таким образом, невозможно войти в приложения, используя аутентификацию на основе сертификатов.
Я проинформировал продавца, что он может повторить проблему и изучает, могут ли они ее исправить, но мои надежды не так высоки, как они смогут (по крайней мере, своевременно).
В то же время я хотел бы предоставить два варианта: использовать сертификаты в качестве второго фактора в настольных браузерах и использовать настраиваемый поставщик аутентификации (я могу создать это без проблем) для мобильных браузеров.
Это возможно? Самое близкое, что я могу получить прямо сейчас, - это предоставить пользователю возможность выбора механизма MFA, который он хотел бы использовать. К сожалению, этого недостаточно, тем более что пользователям придется делать это несколько раз в день.
1 ответ
Многофакторная аутентификация как услуга просто потребляет второй фактор из облака, так что ваши локальные приложения и облачные рабочие нагрузки могут использовать одну и ту же платформу многофакторной аутентификации.
Многофакторная аутентификация Azure обеспечивает дополнительный уровень аутентификации для предотвращения несанкционированного доступа как к локальным, так и к облачным приложениям. Он обеспечивает три вкуса:
Мобильное приложение: доступно на телефонах Windows, Android и IOS. В этом приложении вы можете сделать две вещи: • Программный токен: автономный одноразовый пароль с коротким сроком службы, что является отличным способом, если у вас нет подключения к Интернету. •Отправить уведомление.
Телефонные звонки: вы можете получить телефонный звонок с предложением нажать клавишу для завершения аутентификации. Это может быть стационарный или мобильный телефон.
Текстовые сообщения: вы получите текстовое сообщение с кодом подтверждения.
Вы можете найти опцию приложения Microsoft Authenticator для многофакторной аутентификации. Проверьте здесь, чтобы включить проверку подлинности мобильного приложения с помощью сервера многофакторной проверки подлинности Azure.