...
Het Azure MFA middel moet voor SURFsecureID geactiveerd worden door een RA(A). Hiertoe moet hetzelfde proces doorlopen worden als voor de andere tokens. Het enige verschil is dat de eindgebruiker tijdens dit proces niet het bezit van het Azure MFA token hoeft aan te tonen. De reden hiervoor is namelijk dat als deze stap nog wel uitgevoerd moest worden, de eindgebruiker zou moeten inloggen met zijn credentials op de computer van de RA(A). Vanuit security oogpunt is dit zeer ongewenst.
Let op voor authenticatie "loop"
Met het gebruik van deze feature bestaat er in een specifiek geval het risico dat er een authenticatie "loop" ontstaat. Dit kan optreden als je Azure MFA als SURFsecureID middel combineert met het uitbesteden van de MFA authenticatie in Azure AD aan SURFsecureID.
Dat zit zo:
- Azure AD is geconfigureerd om de MFA uit te besteden aan ADFS. Je Azure AD domein is dan gefedereerd met je ADFS, én gebruikt de "supportsMFA=true" parameter.
- Je ADFS gebruikt de SURFsecureID ADFS plugin om MFA verzoeken door SURFsecureID af te laten handelen.
- De gebruiker heeft in SURFsecureID het Azure MFA middel gekozen en geregistreerd. Hierdoor wordt de 2e factor voor deze gebruiker uitbesteed aan Azure AD.
- goto (1)
Ondersteuning
Voor technische hulp en vragen kun je contact opnemen met support@surfconext.nl. Noem duidelijk in het onderwerp en de email zelf dat het gaat om testen met de Azure MFA integratie met SURFsecureID.
...