1

我们有一个设置,其中涉及使用ADFS作为其访问控制服务器的第三方 Web 应用程序。这在一段时间内运作良好。

现在我们需要在 中安装自定义身份验证策略ADFS,以便将身份验证过程委托给另一个自定义的内部构建服务器并使用自定义的动态规则。

根据我们的理解,这是对一般 ADFS 身份验证管道的鸟瞰图:

在此处输入图像描述

基本上,通过自定义的次要步骤来增强身份验证过程非常容易,但不可能跳过Primary身份验证子过程。

我们确实设法实现了一个Multi Factor Authentication Adapter(基本上是一个订阅ADFS约定的 .NET 程序集)并成功地将它安装在我们的ADFS在此处输入图像描述

不幸的是,我们的情况要求我们定制第一步并对各种场景做出不同的反应。例如:

  • 可能会托管一个自定义登录表单,该表单使用AD
  • 可能对定制的非ADFS OAuth访问令牌做出反应
  • ETC

让最终用户从一开始就被迫提供凭据是一个交易破坏者。

有谁知道如何实现这一目标?

我们正在ADFS使用Windows Server 2012 R2. 此版本ADFS不需要IIS预先安装。

我们发现了一篇有趣的文章,ADFS 2.0它比我们正在使用和需要的要古老得多IIS。本文提供了一个示例,说明如何更改似乎是主要身份验证步骤的登录页面:

https://social.technet.microsoft.com/wiki/contents/articles/1600.ad-fs-2-0-how-to-change-the-local-authentication-type.aspx

我们没有设法在我们的ADFS.

4

2 回答 2

2

根据@maweeras,您不能使用 ADFS 3.0 及更高版本。

ADFS 2.1 及更低版本在 IIS 上运行,因此您可以访问该网站并可以更改代码。

这导致人们引入了各种安全漏洞,ADFS 受到指责,因此被锁定。

根据建议,例如与开源的身份服务器联合并在那里进行更改。

于 2017-03-23T19:07:56.363 回答
1

根据ADFS 发行说明,此功能已在 ADFS for Windows 2019 中实现。

外部身份验证提供者作为主要- 客户现在可以使用第 3 方身份验证产品作为首要因素,而不会将密码作为首要因素。在外部身份验证提供者可以证明 2 个因素的情况下,它可以申请 MFA。

于 2020-04-26T02:34:39.770 回答