none
ADFS 2016で多要素認証が有効にならない RRS feed

  • 質問

  • WindowsServer2016ADDS/ADFS/ADFSProxyを構築して、

    インターネット経由でID/パスワード認証は確認しました。

    証明書認証を組み合わるせため以下の設定を行いましたが、クライアント

    証明書をインストールしてないPCからログインできてしまいます。

    証明書認証を有効化する方法がわかりませんでしょうか?

    よろしくお願いします。

    (1)「ADFSの管理」のサービス>認証方法で、多要素認証方法の編集

     をクリックして「証明書認証」にチェックして「適用」ボタンクリック

    (2)クライアント証明書をインストールしてないクライアントPC

     ブラウザから以下のURLでサインイできてしまう。

    念のためブラウザのCookie含む閲覧履歴を削除してから行っても同様でした。

    https://sts.japaneast.cloudapp.azure.com/adfs/ls/idpinitiatedsignon.aspx

    なにかPowerShellでのコマンド実行が必要なのでしょうか?

    ---------- 調査状況を補足します。

    ADFSサーバのPowerShellコマンドの結果は以下の通りで、証明書認証をプライマリ認証

    と多要素認証の両方でチェックしても変わりませんでした。

    >Get-AdfsCertificateAuthority    

    CertificateAuthorityMode               : Disabled    

    CertificateAuthority                   :     

    EnrollmentAgentCertificateTemplateName :     

    LogonCertificateTemplateName           :     

    VPNCertificateTemplateName             :     

    PrimaryIssuerCertificate               :     

    AdditionalIssuerCertificates           : {} 

    多要素認証でAzure MFAをチェックした際の以下の値もFALSEのままでした。

    (いずれもADFSサービス再起動しても変わらず)

    >Get-AdfsAzureMfaConfigured

    FALSE

    GUIでの設定ができない状況になってしまっているような感じがしますが、

    何か基本的なことを見落としていないでしょうか?

    ---------------------

    多要素認証が有効になったので経緯を報告します。

    PowerShellで以下のコマンドを実行したら有効になりました。

    TRUE/FALSEの設定でイントラ/エクストラネットからの接続だけ

    多要素認証の有効を切り替えられることも確認できました。

    Set-AdfsAdditionalAuthenticationRule -AdditionalAuthenticationRules 'c:[type == "http://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork", value == "false"] => issue(type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod", value = "http://schemas.microsoft.com/claims/multipleauthn" );'


    • 編集済み ecopeace 2017年7月13日 10:32
    2017年7月6日 1:14