【问题标题】:ADFS MFA - Extend AD Schema for YubiKeyADFS MFA - 为 YubiKey 扩展 AD 架构
【发布时间】:2015-04-21 02:41:49
【问题描述】:

我们公司正在将越来越多的应用程序连接到我们的 ADFS 基础架构以使用 SAML 身份验证,并且我们正在认真实施更多的多因素身份验证方法,尤其是 YubiKeys。

我将使用来自HERE 的编码示例为我们的 ADFS 基础架构(使用 ADFS 3.0,即 Windows Server 2012 R2)编写自定义 MFA 提供程序,并且有一个我不清楚的“凹凸”回答。

为了使其正常工作,用户帐户需要链接到 YubiKey 令牌 ID#,并将其存储在 AD 中是理想的。 (我见过一些示例,其中 MFA 提供程序实际上是我不想要的外部 Web 应用程序。)

最初我将使用 User 类 extensionAttributes 之一进行测试,但最终我会为此创建一个专用属性。显然,这需要一个我喜欢做的模式扩展。

我不知道如何从 AD 中为正在验证的用户读取属性以验证他们使用的 yubikey 是他们的用户(即确保他们没有使用其他人)。谁能告诉我这是否可能?

【问题讨论】:

    标签: active-directory adfs adfs3.0


    【解决方案1】:

    我刚刚回答了我自己的问题:

    将此代码添加到 AuthenticationAdapter 类中:

    private string GetDeviceId(string upn)
        {
            DirectoryEntry entry = new DirectoryEntry();
            DirectorySearcher mySearcher = new DirectorySearcher(entry, "(&(objectClass=user)(objectCategory=person)(userPrincipalName=" + upn + "))");
            SearchResult result = mySearcher.FindOne();
            string deviceId = (string)result.Properties["extensionAttribute10"][0];
            return deviceId;
        }
    

    【讨论】:

    • 您能否与我分享一下,因为我正在为我的公司开发类似的功能?
    • @Dscoduc - 当然,你需要什么?
    猜你喜欢
    • 1970-01-01
    • 2018-03-11
    • 1970-01-01
    • 2015-08-23
    • 1970-01-01
    • 1970-01-01
    • 2020-05-22
    • 2022-11-11
    • 2016-12-06
    相关资源
    最近更新 更多