Hej!

 

Det är exakt den artikeln jag har använt mig av för att sätta upp detta.

Allt fungerar så långt som till jag får svaret tillbaka från ADFS.

 

Min tolkning är att shibbolethen inte kan mappa tillbaka till refeds-signalering eftersom ADFS skickar sitt svar (…claims/multipleauthn) i ett separat attribut.

        <Attribute Name=http://schemas.microsoft.com/claims/authnmethodsreferences>

            <AttributeValue>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AttributeValue>

            <AttributeValue>http://schemas.microsoft.com/ws/2012/12/authmethod/phoneappnotification</AttributeValue>

            <AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>

        </Attribute>

 

Och jag gissar att mappning förväntar sig att detta ska finnas i AuthnContext i SAML-svaret från ADFS.

 

Från: Paul Scott <paul.scott@kau.se>
Skickat: den 15 februari 2023 10:10
Till: saml-admins@lists.sunet.se
Ämne: [Saml-admins] Re: MFA SAMLProxy

 

Hej Roger

Har tyvärr ingen erfarenhet med ADFS men undrar om lösningen inte finns i

https://shibboleth.atlassian.net/wiki/spaces/KB/pages/1467056889/Using+SAML+Proxying+in+the+Shibboleth+IdP+to+connect+with+Azure+AD#UsingSAMLProxyingintheShibbolethIdPtoconnectwithAzureAD-ProxyTask6.HandlingREFEDSAuthnContextRequests(optional)

för att översätta en ADFS multipleauthn claim till Refeds MFA?

/Paul.

On 2023-02-10 17:25, Mårtensson, Roger wrote:

Hej!

 

Såg att det dök upp lite frågor om MFA så jag slänger ut min fråga i hopp om att någon har lite tips.

 

Vår IDP är konfad att använda vår ADFS via SAML Proxy. Fungerar finfint och plockar bort en del jobba onödiga inloggningar. Uppskattas av både personal och studenter.

 

Jag har försökt att sätta upp MFA-flödet för detta men får det inte riktigt att fungera mot vår M365 MFA-integrerade ADFS. Finns bra dokumentation om detta för Azure man kan inspireras av på Shibboleth wikin.

 

Problemet ligger i att det SAML-svar vi får som säger att nu har du loggat in med MFA kommer i ett eget attribut. Dvs ”på fel sätt”.

Enligt shibboleth-listan så ska det vara möjligt att skriva om svaret så att shibboleth stoppar in värdet på rätt ställe i SAML-svaret så att REFEDS-konfigurationen kan mappa om ADFS-svaret på ett korrekt sätt.

 

Så, är det någon som har några tips på vad man kan titta på för att komma vidare?

 

Förvirrad,

Roger Mårtensson

System specialist / Systemspecialist

 

MID SWEDEN UNIVERSITY

Avdelningen för infrastruktur / Division of infrastructur

E-mail: roger.martensson@miun.se

 

Information about the processing of personal data at Mid Sweden University: www.miun.se/en/personaldata

 



_______________________________________________
Saml-admins mailing list -- saml-admins@lists.sunet.se
To unsubscribe send an email to saml-admins-leave@lists.sunet.se
-- 
Paul Scott <paul.scott@kau.se>
Systemutvecklare, IT-avdelningen, Karlstads universitet
Tel: +46 (0)54-700 23 07

När du skickar e-post till Karlstads universitet behandlar vi dina personuppgifter.
When you send an e-mail to Karlstad University, we will process your personal data.