Где претензии DeviceContext при использовании альтернативного браузера в ADFS 4.0?

Question

Где претензии DeviceContext при использовании альтернативного браузера в ADFS 4.0?

Я знаю, что это, вероятно, не лучшее место, чтобы задать этот вопрос. Но, после нескольких дней работы над этим и публикации на форуме Microsoft, я в своем уме.

Мы используем гибридную настройку ADFS 4.0 (Server 2016) / Azure AD / Office 365 с регистрацией устройства и работой единого входа.

Мы пытаемся включить многофакторную аутентификацию с помощью политик доступа на основе устройств. Мы не хотим, чтобы "распознанные" устройства видели дополнительные запросы MFA. Мы оцениваем претензии, возвращаемые ADFS, с помощью Microsoft Claims Xray.

Мы успешно включили MFA и настроили ADFS только для запроса MFA, если устройство не распознано. Это работает, потому что распознаваемые устройства имеют дополнительные свойства в активном каталоге (isRegisteredUser; isManaged; isKnown; trustType; и т. Д.), И мы можем принять меры по этим свойствам. Мы протестировали IE, Firefox, Chrome и Safari на iPad. Однако претензии "DeviceContext" поступают только тогда, когда аутентификация выполняется из IE или Safari на iPad.

По какой-то причине кажется, что аутентификация устройства не происходит, когда запрос сделан из Chrome или Firefox. Аутентификация работает, мы просто не видим ни одного из заявлений устройства на использование контекста, которые позволяют нам принимать решение на основе того, зарегистрировано устройство или нет. Таким образом, эти браузеры получают дополнительную подсказку MFA.

Я просто не могу найти какие-либо посты онлайн, соответствующие моей конкретной проблеме. Есть несколько нитей, которые похожи, но оказываются разными проблемами или оказываются в тупике. Я надеюсь, что кто-то имеет подобную настройку и знает, почему Chrome и Firefox не будут выполнять аутентификацию на основе дополнительных устройств, а сафари на iPad будет. Все устройства имеют действительные сертификаты для выполнения аутентификации.

Я не получаю никаких ошибок в журналах событий. Браузер просто не отправляет запрос на аутентификацию устройства, и никакие претензии в отношении контекста устройства не выдаются. Возможно, это не поддерживается, но я не могу найти какую-либо информацию, указывающую так или иначе.

1

windows-server-2016 azure-active-directory adfs single-sign-on google-chrome

Источник

Appleoddity 24 янв '18 в 22:20

1 ответ

Решение

Другие вопросы по тегам windows-server-2016 azure-active-directory adfs single-sign-on google-chrome

Appleoddity 06 фев '18 в 20:45 2018-02-06 20:45 · Accepted Answer · 2018-02-06 20:45

Утверждения контекста устройства необходимы ADFS / Azure AD для определения того, распознается ли устройство, управляется ли оно, соответствует ли оно и т. Д. Без них сценарии, основанные на MFA и SSO, нарушаются, если обход MFA зависит от "распознавания" известного устройства. Утверждения контекста устройства генерируются, когда аутентификация устройства выполняется наряду с аутентификацией пользователя в ADFS.

Я обнаружил, что в Windows 7 компьютер, подключенный к рабочему месту, основан на пользователях и получает сертификат аутентификации устройства, который хранится в хранилище сертификатов "Текущий пользователь". Во время аутентификации аутентификация устройства успешно выполняется с использованием сертификата даже в Chrome.

В Windows 10 я обнаружил, что регистрация устройства Azure AD выполняется для каждого компьютера, и машина получает сертификат проверки подлинности устройства, который хранится в хранилище сертификатов "Локальный компьютер". Во время аутентификации IE и Edge успешно используют этот сертификат для завершения аутентификации устройства. Chrome не будет трогать сертификаты в хранилище сертификатов "Локальный компьютер". При использовании Chrome устройство не распознается, происходит сбой MFA, и пользователю предлагается дополнительная форма аутентификации.

Кажется, это известная проблема с альтернативными браузерами без подходящего ответа. Без проверки подлинности устройства устройство не может быть распознано в целях обхода MFA с политиками условного доступа.

Microsoft предоставила плагин для Google Chrome, который позволяет ему выполнять аутентификацию устройства при использовании MFA. Тем не менее, есть несколько предостережений, о которых следует знать:

Плагин работает только для Chrome и работает только с Windows 10 Creators Updates (1703) или новее.
Этот плагин работает только для политик условного доступа Azure AD.
Политики условного доступа на основе устройства ADFS работать не будут.
Доверие доверяющей стороны в ADFS, кроме Office 365, не сможет использовать плагин из-за предыдущего ограничения.

Короче говоря, похоже, что аутентификация устройства Windows 7 работает нормально, и распознаваемые устройства будут поддерживать политики условного доступа на основе устройств, если вы используете Chrome. Устройства Windows 10, использующие Chrome, имеют ограниченную способность поддерживать политики условного доступа на основе устройств. Мобильные устройства получают пользовательский сертификат при регистрации в MDM, поэтому они также поддерживают обход MFA при управлении устройством.

Я полагаю, что основная проблема заключается в том, что разработчики Chrome преднамеренно запретили ему доступ к хранилищу сертификатов "Локальный компьютер" в целях аутентификации. Это можно проверить с помощью Process Monitor и просмотра доступных сертификатов в настройках сертификатов в Chrome.

Я сожалею об этом, но Mozilla продолжает настойчивый подход, который делает их браузер очень трудным для использования на предприятии, и разработчики сделали Firefox неспособным получить доступ к хранилищам сертификатов Windows. Таким образом, если вы специально не импортируете сертификат в Firefox, условный доступ на основе устройств не будет работать вообще ни в одной ОС.