2
Entra MFA und Keycloak
Guten Morgen
Aufgrund der Meldung dass MS uns per 15.10.2024 MFA "aufzwingt" habe ich folgende Frage an euch (bzw. erhoffe ich mir jemanden der das selbe Setup in seiner Firma hat
).
Folgendes Setup ist bei uns implementiert:
- MS Entra mit rund 950 Mitarbeitern
- als Federated IdP setzen wir Keycloak mit SAML ein
Heisst:
Wenn sich unsere User auf z.B. portal.office.com einloggen wollen, erscheint in erster Linie der Login-Screen von MS. Nachdem sich der User mit seiner Firmen-Email "anmeldet" wird er nun auf unseren Keycloak weitergeleitet. Hier authentisiert er sich mit Email/Passwort und macht den 2FA mit unserer App. Abschliessend wird er dann zu MS weitergereicht und hat Zugriff auf portal.office.com.
Soweit so gut...
Jetzt kommt neu dann der MFA von MS ins Spiel. Wie können wir MS beibringen dass WIR bereits MFA machen und sie unsere User aufs Portal lassen oder nochmals einen MFA zu verlangen? Testweise habe ich bei meinem User MFA auf Entra erzwungen. Ich landete dann in einem "Ping-Pong" -> Keycloak MFA zu Entra und dann wieder zurück...
Hat hier jemand bereits Erfahrung damit?
Vielen Dank & Gruss
devanager
Aufgrund der Meldung dass MS uns per 15.10.2024 MFA "aufzwingt" habe ich folgende Frage an euch (bzw. erhoffe ich mir jemanden der das selbe Setup in seiner Firma hat
).Folgendes Setup ist bei uns implementiert:
- MS Entra mit rund 950 Mitarbeitern
- als Federated IdP setzen wir Keycloak mit SAML ein
Heisst:
Wenn sich unsere User auf z.B. portal.office.com einloggen wollen, erscheint in erster Linie der Login-Screen von MS. Nachdem sich der User mit seiner Firmen-Email "anmeldet" wird er nun auf unseren Keycloak weitergeleitet. Hier authentisiert er sich mit Email/Passwort und macht den 2FA mit unserer App. Abschliessend wird er dann zu MS weitergereicht und hat Zugriff auf portal.office.com.
Soweit so gut...
Jetzt kommt neu dann der MFA von MS ins Spiel. Wie können wir MS beibringen dass WIR bereits MFA machen und sie unsere User aufs Portal lassen oder nochmals einen MFA zu verlangen? Testweise habe ich bei meinem User MFA auf Entra erzwungen. Ich landete dann in einem "Ping-Pong" -> Keycloak MFA zu Entra und dann wieder zurück...
Hat hier jemand bereits Erfahrung damit?
Vielen Dank & Gruss
devanager
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668040
Url: https://administrator.de/contentid/668040
Ausgedruckt am: 04.11.2024 um 22:11 Uhr
2 Kommentare
Neuester Kommentar
Huhu,
bin auch sehr interessiert
geht es dir um diese Meldung mit mandatory MFA?
https://azure.microsoft.com/en-us/blog/announcing-mandatory-multi-factor ...
Anscheinend sind nur Admin Portale und Admin API's betroffen
Vom portal.office.com ist erst einmal kein MFA Zwang geplant
Da ich davon ausgehe, dass Ihr auch die Admin Portale über Federated Auth benutzt, sieht's wohl komplexer aus
siehe:
https://learn.microsoft.com/en-us/entra/identity/authentication/concept- ...
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-a ...
Viele Grüße
dodo
bin auch sehr interessiert
geht es dir um diese Meldung mit mandatory MFA?
https://azure.microsoft.com/en-us/blog/announcing-mandatory-multi-factor ...
Anscheinend sind nur Admin Portale und Admin API's betroffen
Vom portal.office.com ist erst einmal kein MFA Zwang geplant
Da ich davon ausgehe, dass Ihr auch die Admin Portale über Federated Auth benutzt, sieht's wohl komplexer aus
siehe:
https://learn.microsoft.com/en-us/entra/identity/authentication/concept- ...
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-a ...
Viele Grüße
dodo
Hi dodo
Sorry, grad viel los. Dass es vorerst "nur" die Admin-Portale betrifft habe ich auch so aufgefasst. Genau - bis vor kurzem hatten wir unseren OnPrem-AD-Usern die nötigen Adminrechte auf Entra. Zwischenzeitlich habe ich für mich bzw. unsere Admins separate Admin-Accounts direkt auf Entra (inkl. MFA) erstellt. Soweit so gut.
Beim Export aller betroffenen Usern (https://aka.ms/AzMFA) habe ich noch 2-3 weitere User gefunden welche auf ein Admin-Portal zugreifen. Für diese brauche ich natürlich auch noch eine Lösung. Die arbeiten jetzt noch mit ihren OnPrem-AD-Usern welche zu Entra gesynct werden. Bis zum 15.10.2024.
Gruss
devanager
Sorry, grad viel los.
Dass es vorerst "nur" die Admin-Portale betrifft habe ich auch so aufgefasst. Genau - bis vor kurzem hatten wir unseren OnPrem-AD-Usern die nötigen Adminrechte auf Entra. Zwischenzeitlich habe ich für mich bzw. unsere Admins separate Admin-Accounts direkt auf Entra (inkl. MFA) erstellt. Soweit so gut.Beim Export aller betroffenen Usern (https://aka.ms/AzMFA) habe ich noch 2-3 weitere User gefunden welche auf ein Admin-Portal zugreifen. Für diese brauche ich natürlich auch noch eine Lösung. Die arbeiten jetzt noch mit ihren OnPrem-AD-Usern welche zu Entra gesynct werden. Bis zum 15.10.2024.
Gruss
devanager
