none
Azure MFA - Single Forest with single ADFS and multiple Tenants RRS feed

  • Frage

  • Hi Technet Community

    We are looking for a MFA Solution like Azure MFA. We use Citrix and our Customers got separate Tenants.

    My Question is how can i configure Azure MFA with a single ADFS for mulitple Tenants? i saw on the following site that should be possible. https://www.msxfaq.de/cloud/authentifizierung/o365multiforestadfs.htm

    Actual Situation:

    -The Users are Local in the same Forest.
    -ADFS is configured and Tenant A is defined in "Set-AdfsAzureMfaTenant -TenantId A"
    -MFA works fine on Tenant A but even when i do -SupportMultipleDomain on both Tenants the MFA never Works on Tenant B until i change the Set-Adfs.... to Tenant B. (But of course Tenant A don't work anylonger with MFA). 

    Thanks in Advance :)

    Mittwoch, 17. Februar 2021 19:15

Antworten

  • Hello/ Hallo,

    As this is a German forum, I would kindly ask you either to translate your Post in German or to post it again on the English Q&A Forum.

    Da wir uns in einem deutschsprachigen Forum befinden, würde ich Sie gerne bitten wollen, dass Sie entweder alle Ihre Beiträge ins Deutsche übersetzen oder die Thematik erneut im englischsprachigen Forum veröffentlichen.



    Best Regards/ Mit freundlichen Grüßen,

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 18. Februar 2021 08:12
    Moderator

Alle Antworten

  • Hello/ Hallo,

    As this is a German forum, I would kindly ask you either to translate your Post in German or to post it again on the English Q&A Forum.

    Da wir uns in einem deutschsprachigen Forum befinden, würde ich Sie gerne bitten wollen, dass Sie entweder alle Ihre Beiträge ins Deutsche übersetzen oder die Thematik erneut im englischsprachigen Forum veröffentlichen.



    Best Regards/ Mit freundlichen Grüßen,

    Mihaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 18. Februar 2021 08:12
    Moderator
  • Hallo Technet Community

    Situation:
    -Einzelner Forest mit unterteilten OU's (Pro Kunde einzelne OU) und einem ADFS Server -AD Connect pro Tenant ist eingerichtet
    -
    ADFS ist konfiguriert und TenantA ist definiert mit "Set-AdfsAzureMfaTenant -TenantId TenantA" 
    -Citrix Gateway ist der SP und eine Weiterleitung auf den ADFS ist konfiguriert.

    Anmeldung und MFA funktioniert problemlos bei Tenant A und die Tenants sind im Verbund mit dem ADFS (-SupportMultipleDomain ist gemacht und die Tenants haben eine eindeutige IssuerURI).  Bei Tenant B funktioniert die Weiterleitung auf ADFS sowie die Anmeldung bei Microsoft mit MFA Problemlos.
    Bei Citrix aber funktioniert Anmeldung ohne MFA problemlos, sobald ich aber MFA aktiviere funktioniert es nicht, ausser ich lege TenantB mit "Set-AdfsAzureMfaTenant -TenantId TenantB" fest. Was wiederum heisst das Tenant A nicht mehr mit MFA funktioniert. (Ausgewählte Authentifizierungsmethode ist nicht verfügbar, Event-ID 364 siehe weiter unten)

    Wir vermuten es könnte mit ClaimRules gelöst werden, wobei die Domain aus der IssuerURI ausgelesen wird und die MFA Aufforderung an den entsprechenden Tenant gesendet wird. Da die Anmeldung grundsätzlich funktioniert.

    Wir haben gesehen, dass es möglich sein sollte gemäss dem folgenden Link.   https://www.msxfaq.de/cloud/authentifizierung/o365multiforestadfs.htm

    Fehlermeldung: Fehler bei einer passiven Verbundanforderung.

    Zusätzliche Daten

    Protokollname: Saml Vertrauende Seite: https://citrixgateway.domain.com

    Ausnahmedetails: Microsoft.IdentityServer.Web.Authentication.AuthenticationMethodUnavailableException:
    Die ausgewählte Authentifizierungsmethode ist nicht verfügbar. Wählen Sie eine andere Authentifizierungsmethode aus, oder wenden Sie sich an Ihren Systemadministrator, um ausführliche Informationen zu erhalten.
    bei Microsoft.IdentityServer.Web.Authentication.External.ExternalAuthenticationHandler.ProcessContext(ProtocolContext context, IAuthenticationContext authContext, IAccountStoreUserData userData, IClaimsIdentity identity)
    bei Microsoft.IdentityServer.Web.Authentication.External.ExternalAuthenticationHandler.Process(ProtocolContext context)
    bei Microsoft.IdentityServer.Web.Authentication.AuthenticationOptionsHandler.Process(ProtocolContext context)
    bei Microsoft.IdentityServer.Web.PassiveProtocolListener.OnGetContext(WrappedHttpListenerContext context)

    Danke im Voraus


    Mittwoch, 3. März 2021 10:49