Мы настраиваем Office 365 с нашими ключами RSA, и пока мы стремимся освободить наши мобильные устройства и Outlook от MFA. Насколько я понимаю, мы должны сформировать настраиваемое правило утверждения AD FS для преобразования выдачи. Я попытался создать его, но безуспешно:
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]
&& [Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
=> issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");
Есть ли у кого-нибудь идеи, как это правильно сделать?
Догадаться. На самом деле довольно прямолинейно. Итак, вот сделка:
Вы должны сначала отключить свои глобальные настройки или, по крайней мере, те, которые влияют на их установку. Убедитесь, что вы по-прежнему выбираете поставщика MFA (например, RSA или Cert), но не заполняйте больше ничего.
Затем перейдите в PowerShell для запуска от имени администратора.
Введите эту команду:
Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"] => issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");'
Wbat это говорит ему, что если он находится в конечной точке, которая запрашивает adfs или oauth2, тогда продолжайте и включите MFA. Поскольку MFA больше нигде не активирован глобально, он по существу завершает то, что я просил в этой теме. Мне пришлось перезапустить AD FS, чтобы он вступил в силу. Хотя это не самое чистое решение в мире, оно работает.
Прочтите эту статью для получения других инструкций и полезных команд: http://blogs.msdn.com/b/ramical/archive/2014/01/30/under-the-hood-tour-on-multi-factor-authentication-in-ad-fs-part-1-policy. aspx
Вам нужно ввести команду вручную в Powershell. Я также получаю всевозможные сообщения об ошибках, когда копирую / вставляю его в Powershell. Вручную идет хорошо.
c:[Type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", Value == "false"]
&& [Type == "http://schemas.microsoft.com/2012/01/requestcontext/claims/x-ms-endpoint-absolute-path", Value =~ "(/adfs/ls)|(/adfs/oauth2)"]
=> issue(Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", Value = "http://schemas.microsoft.com/claims/multipleauthn");