Azure определяет с помощью политики условного доступа, требуется ли MFA (RequireMFA). Затем единый вход Azure делегирует запросы проверки подлинности в OnPrem ADFS через WSFed. OnPrem ADFS возвращает SAML-токен в Azure после аутентификации.
Моя проблема в том, что OnPrem ADFS не знает, что было оценено политикой условного доступа Azures (требуется MFA или нет).
Есть ли шанс сообщить ADFS о RequireMFA-Information (т. Е. Через запрос WSFed от Azure к ADFS?)
Если на вашем сервере AD FS настроен адаптер MFA, вы можете сделать следующее.
Если федеративный домен настроен с supportsmfa как TRUE через https://docs.microsoft.com/en-us/powershell/module/msonline/set-msoldomainfederationsettings?view=azureadps-1.0, тогда Azure AD перенаправит в AD FS любой запрос, когда Azure Сторона AD требует, чтобы пользователь выполнял MFA (например, из-за политик CA).
Если ваш AD FS работает на Windows Server 2016 или более поздней версии ОС и вы уже настроили Azure MFA для пользователей в облаке, настройте адаптер MFA в AD FS, используя https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configure-ad-fs-and-azure-mfa и установите supportsmfa = true с помощью командлетов Set-MsolDomainAuthentication или Set-MsolDomainFederationSettings. Затем Azure AD перенаправит на AD FS, а AD FS выполнит MFA с помощью адаптера Azure MFA) и вернет утверждения, указывающие, что MFA была выполнена на стороне AD FS. В AD FS должны быть правила утверждений, настроенные с помощью Azure AD Connect. В противном случае вы можете использовать https://adfshelp.microsoft.com/AadTrustClaims/ClaimsGenerator для создания правильная конфигурация правил утверждений, которая заставит AD FS выдавать
заявить, используя правило, подобное приведенному ниже.
@RuleName = "Pass through claim - authnmethodsreferences"
c:[Type == "http://schemas.microsoft.com/claims/authnmethodsreferences"]
=> issue(claim = c);
Обратитесь в службу поддержки Microsoft, если вам все еще не удается заставить это работать.
