Er zijn verschillende mogelijkheden om Multi Factor Authentication (MFA) te gebruiken in een omgeving met ADFS, AzureAD Azure AD en SURFconext. De verschillen worden hier uitgelegd.
Let er wel op dat beide opties niet gecombineerd kunnen worden in één omgeving, dan ontstaat er namelijk een authenticatie "loop".
| Table of Contents | ||
|---|---|---|
|
Optie A:
...
Authenticatie via ADFS; Tokens via SURFsecureID
In dit scenario wordt een (web)dienst gekoppeld aan AzureAD Azure AD of rechtstreeks aan de ADFS van de instelling. In beide gevallen moet de authenticatie via de ADFS van de instelling afgehandeld worden. Als er Azure AD gebruikt wordt moet deze dus gefedereerd worden met deze ADFS én moet aangegeven worden dat deze ADFS MFA ondersteunt (via de SupportsMFA Federation Setting in Azure AD). De eerste factor (inlognaam en wachtwoord) wordt direct dan meestal door de lokale ActiveDirectory afgehandeld. In ADFS Authentication Policies of Azure AD Conditional Access policies wordt wordt beschreven wanneer een tweede factor authenticatie nodig is. Een plugin op de ADFS-servers zorgt ervoor dat de gebruiker voor de tweede factor naar SURFsecureID wordt gestuurd. De gebruiker kan hier inloggen met een van zijn (in SURFsecureID) geregistreerde tokens.
...
 (Web)dienst gekoppeld aan ADFS |  (Web)dienst gekoppeld aan AzureAD |
|---|
Optie B: Hergebruik Azure MFA tokens
...
in SURFsecureID
Als de gebruikers van een instelling al Azure MFA gebruiken, bijvoorbeeld voor toegang tot Office 365, dan is het mogelijk de registratie voor Azure MFA te hergebruiken als token in SURFsecureID. De gebruikers registreren eerst zelf de Microsoft Authenticator App in Azure AD, en kiezen vervolgens bij registratie in SURFsecureID dit token als tweede factor. Voor diensten die via SURFconext gekoppeld zijn kan zo sterke authenticatie worden ingeschakeld, zonder dat gebruikers een tweede soort token hoeven te gebruiken. Er zijn verschillende manieren om een dienst aan te sluiten op SURFconext voor MFA authenticatie. Door de activatie van het Azure MFA token bij de service desk van de instelling ('vetting') wordt de AzureMFA registratie wel betrouwbaarder. Het is niet meer alleen de gebruiker die zijn eigen token registreert, maar ook zijn identiteit is gecontroleerd.
...