Er zijn verschillende mogelijkheden om Multi Factor Authentication (MFA) te gebruiken in een omgeving met ADFS, Azure AD en SURFconext. De verschillen worden hier uitgelegd.
Let er wel op dat beide opties niet gecombineerd kunnen worden in één omgeving, dan ontstaat er namelijk een authenticatie "loop".
Optie A: Authenticatie via ADFS; Tokens via SURFsecureID
In dit scenario wordt een (web)dienst gekoppeld aan Azure AD of rechtstreeks aan de ADFS van de instelling. In beide gevallen moet de authenticatie via de ADFS van de instelling afgehandeld worden. Als er Azure AD gebruikt wordt moet deze dus gefedereerd worden met deze ADFS én moet aangegeven worden dat deze ADFS MFA ondersteunt (via de SupportsMFA Federation Setting in Azure AD). De eerste factor (inlognaam en wachtwoord) wordt dan meestal door de ActiveDirectory afgehandeld. In ADFS Authentication Policies of Azure AD Conditional Access policies wordt beschreven wanneer een tweede factor authenticatie nodig is. Een plugin op de ADFS-servers zorgt ervoor dat de gebruiker voor de tweede factor naar SURFsecureID wordt gestuurd. De gebruiker kan hier inloggen met een van zijn (in SURFsecureID) geregistreerde tokens.
Hier een document waarin deze koppeling omschreven wordt: SURFsecureID icm Azure Conditional Access Rules.pdf
 (Web)dienst gekoppeld aan ADFS |  (Web)dienst gekoppeld aan AzureAD |
|---|
Optie B: Hergebruik Azure MFA tokens in SURFsecureID
Als de gebruikers van een instelling al Azure MFA gebruiken, bijvoorbeeld voor toegang tot Office 365, dan is het mogelijk Azure MFA te hergebruiken als token in SURFsecureID. De gebruikers registreren eerst zelf de Microsoft Authenticator App in Azure AD, en kiezen vervolgens bij registratie in SURFsecureID dit token als tweede factor. Voor diensten die via SURFconext gekoppeld zijn kan zo sterke authenticatie worden ingeschakeld, zonder dat gebruikers een tweede soort token hoeven te gebruiken. Er zijn verschillende manieren om een dienst aan te sluiten op SURFconext voor MFA authenticatie. Door de activatie van het Azure MFA token bij de service desk van de instelling ('vetting') wordt de AzureMFA registratie wel betrouwbaarder. Het is niet meer alleen de gebruiker die zijn eigen token registreert, maar ook zijn identiteit is gecontroleerd.
