是否可以根据 AD FS 中的用户代理(理想情况)或 IP 地址(不太理想)强制使用特定的 MFA 提供程序?或者,是否有其他免费的 SAML IdP 可以允许这样做?请阅读下文了解原因,以防我遗漏了其他选项:
我正在使用 AD FS 3.0 作为企业内部使用的云服务的 SAML 2.0 IdP。我已使用集成 Windows 身份验证启用 MFA,并且还启用了证书作为第二因素。
这在我们部署的域加入桌面上效果很好。一旦用户登录 Windows,他们就会自动登录到云服务(假设他们拥有有效的证书)。他们无需执行任何身份验证,这太棒了。
此云服务为 iOS 和 Android 设备提供移动应用程序。移动应用程序使用嵌入式浏览器进行身份验证。在身份验证期间,重定向到 IdP 后,AD FS 会恢复到基于表单的身份验证,这很好。但是,当 AD FS 请求客户端证书时,这些应用程序中的嵌入式浏览器会冻结。因此,无法使用基于证书的身份验证登录应用程序。
我已经通知了供应商,他们能够复制该问题并正在调查是否可以修复它,但我对他们能够修复它的希望并不大(至少不能及时修复)。
同时,我想提供两个选项:在桌面浏览器上使用证书作为第二个因素,并在移动浏览器上使用自定义身份验证提供程序(我可以毫无问题地构建它)。
这可能吗?目前我能做到的最接近的就是向用户提供他们想要使用哪种 MFA 机制的选项。不幸的是,这还不够好,尤其是因为用户每天需要这样做几次。
答案1
多因素身份验证即服务只是使用来自云的第二个因素,以便您的内部部署应用程序和云工作负载都可以使用相同的多因素身份验证平台。
Azure 多重身份验证提供了额外的身份验证级别,以防止未经授权访问本地和云应用程序。 它提供三种方式:
移动应用程序:适用于 Windows 手机、Android 和 IOS 设备。在此应用程序中,您可以做两件事:•软件令牌:离线一次性密码,有效期较短,如果您没有互联网连接,这是一种很好的方式。•推送通知。
电话:您可能会接到电话,提示您按下某个键来完成身份验证。这可以是座机或手机。
短信:您将收到一条包含验证码的短信。
您可以寻找 Microsoft Authenticator 应用选项来进行多重身份验证。点击此处查看详细信息使用 Azure 多重身份验证服务器启用移动应用身份验证