SURFnet heeft een multifactor authenticatie (MFA) extensie ontwikkeld voor Microsoft AD FS voor gebruik met SURFconext Sterke Authenticatie (SA)SURFsecureID. Met deze extensie kan de tweede factor van een gebruiker in SURFconext SA in SURFsecureID worden gebruikt voor MFA authenticatie in AD FS. De registratie, activatie en het beheer van de tweede factors blijft via SURFconext SA via SURFsecureID lopen. De authenticatie van een relying party (RP) die aangesloten is op de AD FS server blijft lopen via de AD FS server. Op de AD FS server wordt geconfigureerd wanneer er voor RP MFA authenticatie nodig is. Als de ADFS MFA extensie voor SURFconext SA voor SURFsecureID door AD FS wordt aangeroepen, dan verzorgd deze de authenticatie van de tweede factor van een gebruiker bij SURFconext SASURFsecureID.
Op deze pagina staat de installatie procedure van deze extensie beschreven. Ook geven we aan waar meer informatie over de extensie gevonden kan worden. Deze pagina beschrijft installatie van versie 1.0 van de MFA extensie op ADFS 3.0 (Windows 2012 R2) en ADFS 4.0 (Windows 2016). Eerdere versies van de extensie (0.1 en 0.2) worden niet meer ondersteund.
...
- Een productie koppeling van een eigen identity provider op SURFconext
- Een koppeling op SURFconext SA productie of SURFconext SA op SURFsecureID productie of SURFsecureID pilot omgeving
- Een Microsoft Windows domain met AD FS
| Info |
|---|
We werken momenteel aan een nieuwe installatiehandleiding en een nieuwe installatie methode voor de ADFS MFA extensie voor SURFconext SASURFsecureID. |
Installatieprocedure
De MFA extensie moet op iedere AD FS server worden geïnstalleerd waarop MFA plaats moet vinden. De installatie procedure voor de 2e, 3e etc AD FS server wijkt af van de eerste.
...
Hieronder staat een gedeeltelijk ingevulde SurfnetMfaPluginConfiguration.json voor gebruik met de SURFconext SA de SURFsecureID Pilot omgeving, de lege waarden zijn specifiek voor de organisatie. Behalve SigningCertificate moeten deze allemaal ingevuld worden.
...
| Waarde | Beschrijving | |
|---|---|---|
| Settings | ||
SecondFactorEndpoint | Dit is de SingleSignOnService Location van de SA SURFsecureID gateway. Deze staat in de SAML metadata van de omgeving en is verschillend voor de test, pilot en productie omgevingen. | |
MinimalLoa | Dit is geeft aan welk nivo van authenticatie vereist is. De ondersteunde identifiers zijn verschillend voor de test, pilot en productie omgevingen. "level2" staat alle type tokens toe, "level3" alleen YubiKey. | |
schacHomeOrganization | Dit is de waarde voor schacHomeOrganization die voor de gebruiker is geregistreerd tijdens de registratie van het token in SURFconext SASURFsecureID. Deze waarde wordt de de extensie gebruikt om de SURFconext identifier van de gebruiker te bepalen voor authenticatie op de gateway. Dit heeft de vorm van een domeinnaam. Bijvoorbeeld: catharijnecollege.nl. | |
ActiveDirectoryName | Dit is de DNS naam van de locale active directory (AD) server. Deze AD wordt gebruikt voor het opzoeken van het uid van de gebruiker. Bijvoorbeeld: corp.contoso.com | |
ActiveDirectoryUserIdAttribute | Dit is de naam van het attribuut in de locale active directory (AD) server welke het uid van de gebruiker bevat dat gebruikt wordt voor de authenticatie naar SURFconext. De waarde uit dit attribuut wordt de de extensie gebruikt om de SURFconext identifier van de gebruiker te bepalen voor authenticatie op de gateway. | |
| ServiceProvider | ||
SigningCertificate | Naam van een .pfx bestand in de Setup directory met daarin het X.509 certificaat en de RSA private key waarmee de authenticatie verzoeken van de extensie naar de SURFconext SA SURFsecureID gateway worden ondertekend. Voor installatie op de 1e AD FS server kan dit leeggelaten worden, het installatie stript zal dan zelf een certificaat en private key genereren, en deze exporteren naar een .pfx bestand. Een .pfx bestand is een PKCS#12 in DER formaat. | |
EntityId | Dit is het SAML EntityID van de extensie welke de extensie uniek identificeert richting SURFconext SASURFsecureID. Deze waarde is vrij te kiezen en heeft de vorm van een URL of een URN. De in de URL gebruikte identifier moet onder eigen beheer zijn. Voorbeeld: | |
| IdentityProvider | ||
EntityId | Dit is het SAML EnitityID van de SURFconext SA SURFsecureID gateway. Deze staat in de SAML metadata van de omgeving en is verschillend voor de test, pilot en productie omgevingen. | |
Certificate | Naam van een .crt bestand in de Setup directory met daarin het X.509 signing certificaat van de SURFconext SA SURFsecureID gateway in PEM formaat. Dit certificaat staat in de SAML metadata van de omgeving en is verschillend voor de test, pilot en productie omgevingen. Zie de volgende stap (Stap 3). | |
Stap 3 - Download
...
het SURFsecureID signing certificaat
Download het SAML signing certificaat van de SURFconext Sterke Authenticatie de SURFsecureID gateway, zet dit in de Setup directory van de extensie op de AD FS server, en zorg dat Certificate in de SurfnetMfaPluginConfiguration.json (zie ook de vorig stap) naar deze file refereert. Dit certificaat staat in de SAML metadata van de omgeving en is verschillend voor de test, pilot en productie omgevingen.
...
- Kopieer de uitgepakte
SetupPackage.zipdirectory, met daarin deSetupdirectory en de bij installatie aangepaste en toegevoegde bestanden van de eerste AD FS server naar deze AD FS server. - Ga naar de
Setupdirectory (van de uitgepakteSetupPackage.zip) - Run
Install-SurfnetMfaPlugin.ps1 - Het script zal vragen om een password, dit password staat in de uitvoer van het installatiescript script van de eerste server.
Stap 6 - Laat een koppeling maken voor de extensie in
...
SURFsecureID
Stuur een mail aan support@surfconext.nl met daarin de volgende informatie:
- Om welke instelling gaat het (wat is de waarde van het schacHomeOrganization attribuut?)
- Aan welke SURFconext SA welke SURFsecureID omgeving moet de extensie gekoppeld worden: Pilot of Productie?
- Wat is de
Issuer(hetEntityID) van de extensie? Dit staat in de uitvoer van het installatiescript - Wat is het SAML signing certificaat van de extensie? Dit staat in de uitvoer van het installatiescript
- Wat is de volledige hostname van de ADFS server? Dit is de hostname waarop de ADFS server SAML responses ontvangt.
...
De AD FS MFA extensie heeft haar eigen SAML implementatie en configuratie welk lost staat van AD FS. Hoewel de extensie is een SAML service provider (SP) voor SURFconext SASURFsecureID, staat deze dus niet onder de relying parties in de AD FS config.
...
De extensie maakt gebruik van de second factor only (SFO) interface van SURFconext SASURFsecureID. Meer informatie over SFO: Second Factor Only (SFO) Authentication
...