gpt4 book ai didi

azure - 在身份验证期间将 "RequireMFA"信息从 Azure SSO 转发到 OnPrem ADFS

转载 作者:行者123 更新时间:2023-12-03 05:30:39 25 4
gpt4 key购买 nike

Azure 通过条件访问策略确定是否需要 MFA(“RequireMFA”)。然后,Azure SSO 通过 WSFed 将身份验证请求委托(delegate)给 OnPrem ADFS。 OnPrem ADFS 在身份验证后将 SAML token 返回到 Azure。

我的问题是,OnPrem ADFS 不知道 Azure 条件访问策略评估了什么(是否需要 MFA)。

是否有机会让 ADFS 了解 RequireMFA 信息(即通过从 Azure 到 ADFS 的 WSFed 请求?)

最佳答案

如果您的 AD FS 服务器配置了 MFA 适配器,您可以执行以下操作。

如果联合域通过https://learn.microsoft.com/en-us/powershell/module/msonline/set-msoldomainfederationsettings?view=azureadps-1.0将supportsmfa配置为TRUE cmdlet,那么当 Azure AD 端需要用户执行 MFA(例如由于 CA 策略)时,Azure AD 会将任何请求重定向到 AD FS。

如果您的 AD FS 在 Windows Server 2016 或更高版本的操作系统版本上运行,并且您已经为云中的用户配置了 Azure MFA,请使用 https://learn.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-ad-fs-and-azure-mfa 在 AD FS 上配置 MFA 适配器。并使用 Set-MsolDomainAuthentication 或 Set-MsolDomainFederationSettings cmdlet 设置supportsmfa=true。然后,Azure AD 将重定向到 AD FS,AD FS 将使用 Azure MFA 适配器执行 MFA)并返回指示 MFA 已在 AD FS 端完成的声明。您的 AD FS 需要具有由 Azure AD Connect 配置的声明规则。否则你可以使用https://adfshelp.microsoft.com/AadTrustClaims/ClaimsGenerator生成正确的声明规则配置,这将使 AD FS 问题

http://schemas.microsoft.com/claims/authnmethodsreferences

使用类似于下面的规则进行声明。

@RuleName = "Pass through claim - authnmethodsreferences"
c:[Type == "http://schemas.microsoft.com/claims/authnmethodsreferences"]
=> issue(claim = c);

如果您仍然难以使其正常工作,请联系 Microsoft 支持人员。

关于azure - 在身份验证期间将 "RequireMFA"信息从 Azure SSO 转发到 OnPrem ADFS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/65753884/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com