WindowsServer2016でADDS/ADFS/ADFSProxyを構築して、
インターネット経由でID/パスワード認証は確認しました。
証明書認証を組み合わるせため以下の設定を行いましたが、クライアント
証明書をインストールしてないPCからログインできてしまいます。
証明書認証を有効化する方法がわかりませんでしょうか?
よろしくお願いします。
(1)「ADFSの管理」のサービス>認証方法で、多要素認証方法の編集
をクリックして「証明書認証」にチェックして「適用」ボタンクリック
(2)クライアント証明書をインストールしてないクライアントPCの
ブラウザから以下のURLでサインイできてしまう。
→念のためブラウザのCookie含む閲覧履歴を削除してから行っても同様でした。
https://sts.japaneast.cloudapp.azure.com/adfs/ls/idpinitiatedsignon.aspx
なにかPowerShellでのコマンド実行が必要なのでしょうか?
----------
調査状況を補足します。
ADFSサーバのPowerShellコマンドの結果は以下の通りで、証明書認証をプライマリ認証
と多要素認証の両方でチェックしても変わりませんでした。
>Get-AdfsCertificateAuthority
CertificateAuthorityMode : Disabled
CertificateAuthority :
EnrollmentAgentCertificateTemplateName :
LogonCertificateTemplateName :
VPNCertificateTemplateName :
PrimaryIssuerCertificate :
AdditionalIssuerCertificates : {}
多要素認証でAzure MFAをチェックした際の以下の値もFALSEのままでした。
(いずれもADFSサービス再起動しても変わらず)
>Get-AdfsAzureMfaConfigured
FALSE
GUIでの設定ができない状況になってしまっているような感じがしますが、
何か基本的なことを見落としていないでしょうか?
---------------------
多要素認証が有効になったので経緯を報告します。
PowerShellで以下のコマンドを実行したら有効になりました。
TRUE/FALSEの設定でイントラ/エクストラネットからの接続だけ
多要素認証の有効を切り替えられることも確認できました。
Set-AdfsAdditionalAuthenticationRule
-AdditionalAuthenticationRules
'c:[type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "http://schemas.microsoft.com/claims/multipleauthn"
);'
