Можно ли принудительно настроить конкретного поставщика MFA на основе пользовательского агента (идеально) или IP-адреса (менее идеально) в AD FS? В качестве альтернативы, существует ли еще один бесплатный SAML IdP, который позволил бы это? Прочтите ниже, почему, если есть еще один вариант, который мне не хватает:
Я использую AD FS 3.0 в качестве IdP SAML 2.0 для облачной службы, используемой внутри компании. Я включил MFA, используя встроенную проверку подлинности Windows, и я также включил сертификаты в качестве второго фактора.
Это отлично работает на подключенных к домену рабочих столах, которые мы развертываем. После входа пользователя в Windows он автоматически входит в облачную службу, если у него есть действующий сертификат. Им не нужно ничего делать для аутентификации, и это здорово.
Этот облачный сервис предоставляет мобильное приложение для устройств iOS и Android. Мобильное приложение использует встроенный браузер для аутентификации. Во время аутентификации после перенаправления к IdP AD FS возвращается к аутентификации на основе форм, что нормально. Однако, когда AD FS запрашивает сертификат клиента, встроенный браузер в этих приложениях зависает. Таким образом, невозможно войти в приложения с помощью проверки подлинности на основе сертификатов.
Я сообщил поставщику, что они могут воспроизвести проблему и исследуют, могут ли они исправить ее, но я не очень надеюсь, что они смогут это сделать (по крайней мере, своевременно).
А пока я хотел бы предложить два варианта: использовать сертификаты в качестве второго фактора в браузерах для настольных компьютеров и использовать настраиваемого поставщика аутентификации (я могу без проблем создать это) для мобильных браузеров.
Это возможно? Самое близкое, что я могу сделать прямо сейчас, - это предоставить пользователю вариант того, какой механизм MFA он хотел бы использовать. К сожалению, этого недостаточно, тем более, что пользователям придется делать это несколько раз в день.
Многофакторная аутентификация как услуга просто использует второй фактор из облака, так что ваши локальные приложения и облачные рабочие нагрузки могут использовать одну и ту же платформу многофакторной аутентификации.
Многофакторная проверка подлинности Azure обеспечивает дополнительный уровень проверки подлинности для предотвращения несанкционированного доступа как к локальному, так и к облачному приложению. Он имеет три вкуса:
Мобильное приложение: доступно на телефонах Windows, устройствах Android и IOS. В этом приложении вы можете делать две вещи: • Программный токен: автономный одноразовый пароль с коротким сроком службы, что является отличным способом, если у вас нет подключения к Интернету. •Отправить уведомление.
Телефонные звонки: вы можете получить телефонный звонок, предлагающий вам нажать клавишу для завершения аутентификации. Это может быть стационарный или мобильный телефон.
Текстовые сообщения: вы получите текстовое сообщение с кодом подтверждения.
Вы можете найти опцию приложения Microsoft Authenticator для многофакторной аутентификации. Подробности здесь, чтобы Включение аутентификации мобильного приложения с помощью сервера Многофакторной аутентификации Azure