Entra MFA und Keycloak
Guten Morgen
Aufgrund der Meldung dass MS uns per 15.10.2024 MFA "aufzwingt" habe ich folgende Frage an euch (bzw. erhoffe ich mir jemanden der das selbe Setup in seiner Firma hat ).
Folgendes Setup ist bei uns implementiert:
- MS Entra mit rund 950 Mitarbeitern
- als Federated IdP setzen wir Keycloak mit SAML ein
Heisst:
Wenn sich unsere User auf z.B. portal.office.com einloggen wollen, erscheint in erster Linie der Login-Screen von MS. Nachdem sich der User mit seiner Firmen-Email "anmeldet" wird er nun auf unseren Keycloak weitergeleitet. Hier authentisiert er sich mit Email/Passwort und macht den 2FA mit unserer App. Abschliessend wird er dann zu MS weitergereicht und hat Zugriff auf portal.office.com.
Soweit so gut...
Jetzt kommt neu dann der MFA von MS ins Spiel. Wie können wir MS beibringen dass WIR bereits MFA machen und sie unsere User aufs Portal lassen oder nochmals einen MFA zu verlangen? Testweise habe ich bei meinem User MFA auf Entra erzwungen. Ich landete dann in einem "Ping-Pong" -> Keycloak MFA zu Entra und dann wieder zurück...
Hat hier jemand bereits Erfahrung damit?
Vielen Dank & Gruss
devanager
Aufgrund der Meldung dass MS uns per 15.10.2024 MFA "aufzwingt" habe ich folgende Frage an euch (bzw. erhoffe ich mir jemanden der das selbe Setup in seiner Firma hat ).
Folgendes Setup ist bei uns implementiert:
- MS Entra mit rund 950 Mitarbeitern
- als Federated IdP setzen wir Keycloak mit SAML ein
Heisst:
Wenn sich unsere User auf z.B. portal.office.com einloggen wollen, erscheint in erster Linie der Login-Screen von MS. Nachdem sich der User mit seiner Firmen-Email "anmeldet" wird er nun auf unseren Keycloak weitergeleitet. Hier authentisiert er sich mit Email/Passwort und macht den 2FA mit unserer App. Abschliessend wird er dann zu MS weitergereicht und hat Zugriff auf portal.office.com.
Soweit so gut...
Jetzt kommt neu dann der MFA von MS ins Spiel. Wie können wir MS beibringen dass WIR bereits MFA machen und sie unsere User aufs Portal lassen oder nochmals einen MFA zu verlangen? Testweise habe ich bei meinem User MFA auf Entra erzwungen. Ich landete dann in einem "Ping-Pong" -> Keycloak MFA zu Entra und dann wieder zurück...
Hat hier jemand bereits Erfahrung damit?
Vielen Dank & Gruss
devanager
Please also mark the comments that contributed to the solution of the article
Content-ID: 668040
Url: https://administrator.de/contentid/668040
Printed on: October 13, 2024 at 10:10 o'clock
2 Comments
Latest comment
Huhu,
bin auch sehr interessiert
geht es dir um diese Meldung mit mandatory MFA?
https://azure.microsoft.com/en-us/blog/announcing-mandatory-multi-factor ...
Anscheinend sind nur Admin Portale und Admin API's betroffen
Vom portal.office.com ist erst einmal kein MFA Zwang geplant
Da ich davon ausgehe, dass Ihr auch die Admin Portale über Federated Auth benutzt, sieht's wohl komplexer aus
siehe:
https://learn.microsoft.com/en-us/entra/identity/authentication/concept- ...
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-a ...
Viele Grüße
dodo
bin auch sehr interessiert
geht es dir um diese Meldung mit mandatory MFA?
https://azure.microsoft.com/en-us/blog/announcing-mandatory-multi-factor ...
Anscheinend sind nur Admin Portale und Admin API's betroffen
Vom portal.office.com ist erst einmal kein MFA Zwang geplant
Da ich davon ausgehe, dass Ihr auch die Admin Portale über Federated Auth benutzt, sieht's wohl komplexer aus
siehe:
https://learn.microsoft.com/en-us/entra/identity/authentication/concept- ...
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-a ...
Viele Grüße
dodo