Hej!

 

Då ska jag prata vårt ADFS-folk. Har ni någon dokumentation för just detta fall? Eller räcker det med att man installerar toolkitet och gör någon enstaka konfiguration på den konfiguration vi redan har?

 

Att byta ut Shibboleth kan klassas som ett större projekt för oss och inget man gör över en kafferast. 😊

 

Vet att de på shibboleth-listan pratade om att det skulle vara möjligt att hantera detta i Shibboleth men det svar jag fick gjorde det inte enklare att gräva vidare på det spåret.

Var något sätt för att få attributet för att stoppa in på rätt ställe innan flödet gick vidare i inloggningen.

 

Från: Tommy Larsson <tommy.larsson@umu.se>
Skickat: den 16 februari 2023 08:59
Till: Mårtensson, Roger <Roger.Martensson@miun.se>; Paul Scott <paul.scott@kau.se>
Kopia: saml-admins@lists.sunet.se
Ämne: [Saml-admins] Re: MFA SAMLProxy

 

Hej

 

Det är korrekt, adfs släpper inte "http://schemas.microsoft.com/claims/multipleauthn" i detta fall. Denna sida hanterar inloggning/konfigurering direkt mot Azure.

Om adfs konfigureras för att hantera refeds MFA genom ADFSToolkit så kommer AuthnContextClassRef att skickas tillbaka.

 

/Tommy

 

From: Mårtensson, Roger <Roger.Martensson@miun.se>
Sent: den 15 februari 2023 13:13
To: Paul Scott <paul.scott@kau.se>
Cc: saml-admins@lists.sunet.se
Subject: [Saml-admins] Re: MFA SAMLProxy

 

Hej!

 

Det är exakt den artikeln jag har använt mig av för att sätta upp detta.

Allt fungerar så långt som till jag får svaret tillbaka från ADFS.

 

Min tolkning är att shibbolethen inte kan mappa tillbaka till refeds-signalering eftersom ADFS skickar sitt svar (…claims/multipleauthn) i ett separat attribut.

        <Attribute Name=http://schemas.microsoft.com/claims/authnmethodsreferences>

            <AttributeValue>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AttributeValue>

            <AttributeValue>http://schemas.microsoft.com/ws/2012/12/authmethod/phoneappnotification</AttributeValue>

            <AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>

        </Attribute>

 

Och jag gissar att mappning förväntar sig att detta ska finnas i AuthnContext i SAML-svaret från ADFS.

 

Från: Paul Scott <paul.scott@kau.se>
Skickat: den 15 februari 2023 10:10
Till: saml-admins@lists.sunet.se
Ämne: [Saml-admins] Re: MFA SAMLProxy

 

Hej Roger

Har tyvärr ingen erfarenhet med ADFS men undrar om lösningen inte finns i

https://shibboleth.atlassian.net/wiki/spaces/KB/pages/1467056889/Using+SAML+Proxying+in+the+Shibboleth+IdP+to+connect+with+Azure+AD#UsingSAMLProxyingintheShibbolethIdPtoconnectwithAzureAD-ProxyTask6.HandlingREFEDSAuthnContextRequests(optional)

för att översätta en ADFS multipleauthn claim till Refeds MFA?

/Paul.

On 2023-02-10 17:25, Mårtensson, Roger wrote:

Hej!

 

Såg att det dök upp lite frågor om MFA så jag slänger ut min fråga i hopp om att någon har lite tips.

 

Vår IDP är konfad att använda vår ADFS via SAML Proxy. Fungerar finfint och plockar bort en del jobba onödiga inloggningar. Uppskattas av både personal och studenter.

 

Jag har försökt att sätta upp MFA-flödet för detta men får det inte riktigt att fungera mot vår M365 MFA-integrerade ADFS. Finns bra dokumentation om detta för Azure man kan inspireras av på Shibboleth wikin.

 

Problemet ligger i att det SAML-svar vi får som säger att nu har du loggat in med MFA kommer i ett eget attribut. Dvs ”på fel sätt”.

Enligt shibboleth-listan så ska det vara möjligt att skriva om svaret så att shibboleth stoppar in värdet på rätt ställe i SAML-svaret så att REFEDS-konfigurationen kan mappa om ADFS-svaret på ett korrekt sätt.

 

Så, är det någon som har några tips på vad man kan titta på för att komma vidare?

 

Förvirrad,

Roger Mårtensson

System specialist / Systemspecialist

 

MID SWEDEN UNIVERSITY

Avdelningen för infrastruktur / Division of infrastructur

E-mail: roger.martensson@miun.se

 

Information about the processing of personal data at Mid Sweden University: www.miun.se/en/personaldata

 

 

_______________________________________________
Saml-admins mailing list -- saml-admins@lists.sunet.se
To unsubscribe send an email to saml-admins-leave@lists.sunet.se
-- 
Paul Scott <paul.scott@kau.se>
Systemutvecklare, IT-avdelningen, Karlstads universitet
Tel: +46 (0)54-700 23 07

När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter.
When you send an e-mail to Karlstad University, we will process your personal data.