AZURE 联合 SSO MFA 行为 AcceptIfMfaDoneByFederatedIdp 不绕过 Azure 默认 MFA

问题描述 投票:0回答:1

我正在尝试启用从本地 IDP 到 AZURE 门户的 SSO。 SSO 到 azure 门户已成功。但我无法绕过 azure 要求的 MFA 选项。

我执行的步骤:

  1. 创建了域联合配置,并将 federatedIdpMfaBehavior 设置为 acceptIfMfaDoneByFederatedIdp ref
  2. 在 saml 响应中添加了身份验证方法声明属性。
<AttributeStatement>
    <Attribute Name="IDPEmail">
        <AttributeValue>user_email</AttributeValue>
    </Attribute>
    <Attribute Name="http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationmethod" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri">
        <AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>
    </Attribute>
</AttributeStatement>

但 AZURE 仍然要求 SAML 响应成功身份验证后进行 MFA。

azure azure-active-directory single-sign-on saml-2.0 federated-identity
1个回答
0
投票

您是否在 Microsoft 365/Entra ID 中使用现代身份验证?

此外,您的 Google 帐户是否实施了 2SV?我发现了这个:

“Microsoft Entra ID 接受由联合身份提供商执行的 MFA。如果联合身份提供商未执行 MFA,Microsoft Entra ID 将执行 MFA”

https://learn.microsoft.com/en-us/graph/api/internaldomainfederation-update?view=graph-rest-1.0&tabs=http#federatedidpmfabehavior-values

因此,如果您在另一方没有类似的身份验证,它可能会要求 MFA(只是猜测)

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.