devanager
Goto Top

Entra MFA und Keycloak

Guten Morgen

Aufgrund der Meldung dass MS uns per 15.10.2024 MFA "aufzwingt" habe ich folgende Frage an euch (bzw. erhoffe ich mir jemanden der das selbe Setup in seiner Firma hat face-smile ).

Folgendes Setup ist bei uns implementiert:

- MS Entra mit rund 950 Mitarbeitern
- als Federated IdP setzen wir Keycloak mit SAML ein

Heisst:
Wenn sich unsere User auf z.B. portal.office.com einloggen wollen, erscheint in erster Linie der Login-Screen von MS. Nachdem sich der User mit seiner Firmen-Email "anmeldet" wird er nun auf unseren Keycloak weitergeleitet. Hier authentisiert er sich mit Email/Passwort und macht den 2FA mit unserer App. Abschliessend wird er dann zu MS weitergereicht und hat Zugriff auf portal.office.com.

Soweit so gut...

Jetzt kommt neu dann der MFA von MS ins Spiel. Wie können wir MS beibringen dass WIR bereits MFA machen und sie unsere User aufs Portal lassen oder nochmals einen MFA zu verlangen? Testweise habe ich bei meinem User MFA auf Entra erzwungen. Ich landete dann in einem "Ping-Pong" -> Keycloak MFA zu Entra und dann wieder zurück...

Hat hier jemand bereits Erfahrung damit?

Vielen Dank & Gruss

devanager

Content-ID: 668040

Url: https://administrator.de/contentid/668040

Printed on: October 13, 2024 at 10:10 o'clock

dodo30
dodo30 Sep 11, 2024 updated at 14:47:19 (UTC)
Goto Top
Huhu,

bin auch sehr interessiert

geht es dir um diese Meldung mit mandatory MFA?
https://azure.microsoft.com/en-us/blog/announcing-mandatory-multi-factor ...


Anscheinend sind nur Admin Portale und Admin API's betroffen

Vom portal.office.com ist erst einmal kein MFA Zwang geplant


Da ich davon ausgehe, dass Ihr auch die Admin Portale über Federated Auth benutzt, sieht's wohl komplexer aus

siehe:
https://learn.microsoft.com/en-us/entra/identity/authentication/concept- ...

https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-a ...

Viele Grüße
dodo
devanager
devanager Sep 16, 2024 at 15:00:09 (UTC)
Goto Top
Hi dodo

Sorry, grad viel los. face-smile Dass es vorerst "nur" die Admin-Portale betrifft habe ich auch so aufgefasst. Genau - bis vor kurzem hatten wir unseren OnPrem-AD-Usern die nötigen Adminrechte auf Entra. Zwischenzeitlich habe ich für mich bzw. unsere Admins separate Admin-Accounts direkt auf Entra (inkl. MFA) erstellt. Soweit so gut.

Beim Export aller betroffenen Usern (https://aka.ms/AzMFA) habe ich noch 2-3 weitere User gefunden welche auf ein Admin-Portal zugreifen. Für diese brauche ich natürlich auch noch eine Lösung. Die arbeiten jetzt noch mit ihren OnPrem-AD-Usern welche zu Entra gesynct werden. Bis zum 15.10.2024. face-smile

Gruss

devanager