Назад | Перейти на главную страницу

Где утверждения DeviceContext при использовании альтернативного браузера в ADFS 4.0?

Я знаю, что это, вероятно, не лучшее место, чтобы задавать этот вопрос. Но после нескольких дней работы над этим и размещено на форуме Microsoft, Я в своем уме.

Мы используем гибридную установку ADFS 4.0 (Server 2016) / Azure AD / Office 365 с регистрацией устройства и работающим SSO.

Мы пытаемся включить многофакторную аутентификацию с политиками доступа на основе устройств. Мы не хотим, чтобы «распознанные» устройства видели дополнительные запросы MFA. Мы оцениваем заявки, возвращаемые ADFS, с помощью Microsoft утверждает Xray.

Мы успешно включили MFA и настроили ADFS на запрос MFA только в том случае, если устройство не распознано. Это работает, потому что распознанные устройства имеют дополнительные свойства в активном каталоге (isRegisteredUser; isManaged; isKnown; trustType и т. Д.), И мы можем принять меры с этими свойствами. Мы протестировали IE, Firefox, Chrome и Safari на iPad. Однако утверждения «DeviceContext» поступают только тогда, когда аутентификация выполняется из IE или Safari на iPad.

По какой-то причине кажется, что аутентификация устройства не происходит, когда запрос сделан из Chrome или Firefox. Аутентификация работает, мы просто не можем видеть какие-либо утверждения контекста устройства, которые позволяют нам принимать решение на основе того, зарегистрировано устройство или нет. Таким образом, эти браузеры получают дополнительную подсказку MFA.

Я просто не могу найти в сети сообщений, соответствующих моей проблеме. Есть несколько похожих потоков, но они вызывают разные проблемы или заходят в тупик. Я надеюсь, что у кого-то есть такая же настройка и он знает, почему Chrome и Firefox не будут выполнять дополнительную аутентификацию на основе устройства, но сафари на iPad будет. Все устройства имеют действующие сертификаты для аутентификации.

Я не получаю никаких ошибок ни в каких журналах событий. Браузер просто не запрашивает аутентификацию устройства, и не выдает никаких заявлений о контексте устройства. Возможно, это не поддерживается, но я не могу найти никакой информации, указывающей на то или иное.

Утверждения контекста устройства необходимы для ADFS / Azure AD, чтобы определить, распознается ли устройство, управляется, соответствует ли оно и т. Д. Без них сценарии, основанные на MFA и SSO, не работают, если обход MFA полагается на «распознавание» известного устройства. Утверждения контекста устройства создаются, когда аутентификация устройства выполняется вместе с аутентификацией пользователя в ADFS.

Я обнаружил, что в Windows 7 компьютер, подключенный к рабочему месту, предназначен для каждого пользователя и получает сертификат проверки подлинности устройства, который хранится в хранилище сертификатов «Текущий пользователь». Во время аутентификации аутентификация устройства успешно выполняется с помощью сертификата даже в Chrome.

В Windows 10 я обнаружил, что регистрация устройства Azure AD осуществляется для каждой машины, и машина получает сертификат проверки подлинности устройства, который хранится в хранилище сертификатов «Локальный компьютер». Во время аутентификации IE и Edge успешно используют этот сертификат для завершения аутентификации устройства. Chrome не будет трогать сертификаты в хранилище сертификатов "Локального компьютера". При использовании Chrome устройство не распознается, MFA не работает, и пользователю предлагается ввести дополнительную форму аутентификации.

Кажется, это известная проблема с альтернативными браузерами, на которую нет подходящего ответа. Без аутентификации устройства устройство не может быть распознано в целях обхода MFA с политиками условного доступа.

Microsoft имеет предоставил плагин для Google Chrome, что позволяет выполнять аутентификацию устройства при использовании MFA. Однако есть несколько предостережений, о которых следует помнить:

  • Плагин работает только для Chrome и работает только с Windows 10 Creators Updates (1703) или новее.
  • Плагин работает только с политиками условного доступа Azure AD.
  • Политики условного доступа на основе устройств ADFS работать не будут.
  • Доверительные отношения проверяющей стороны в ADFS, отличные от Office 365, не смогут использовать подключаемый модуль из-за предыдущего ограничения.

Короче говоря, проверка подлинности устройства Windows 7, похоже, работает нормально, и распознанные устройства будут поддерживать политики условного доступа на основе устройства, если вы используете Chrome. Устройства с Windows 10, использующие Chrome, имеют ограниченную возможность поддерживать политики условного доступа на основе устройств. Мобильные устройства получают сертификат на основе пользователя при регистрации в MDM, поэтому они, похоже, также поддерживают обход MFA при управлении устройством.

Я считаю, что основная проблема здесь в том, что разработчики Chrome намеренно запретили ему доступ к хранилищу сертификатов «Локальный компьютер» для целей аутентификации. Это можно проверить с помощью Process Monitor и просмотрев доступные сертификаты в настройках сертификатов в Chrome.

Мне жаль это говорить, но Mozilla продолжила свой упорный подход, из-за которого их браузер было очень сложно использовать на предприятии, а разработчики сделали Firefox неспособным получить доступ к каким-либо хранилищам сертификатов Windows. Таким образом, если вы намеренно не импортируете сертификат в Firefox, условный доступ на основе устройства вообще не работает ни в одной ОС.