theonlybrand 0 Geschrieben 5. August 2019 Melden Teilen Geschrieben 5. August 2019 (bearbeitet) Hallo zusammen, ich habe letzte Woche die Anforderung bekommen "Alle User müssen ab sofort MFA nutzen", Microsoft will das ab 1. August 2019 für alle CSP verpflichtend (Und ja ich wurde 2. August erst darauf angesprochen). Nun habe ich natürlich nicht direkt die Baseline Policy "End User Protection" aktiviert, da intern noch ein paar Anwendungen mit Legacyprotokollen (IMAP, SMTP) arbeiten und diese dann nicht mehr funktionieren. Jetzt habe ich mir überlegt, ob es nicht möglich wäre die MFA gegen einen ADFS Server (oder ist doch ein Cluster besser?) zu schicken, um die Anmeldung der internen Anwendungen zukünftig per SAML zu realisieren. Zudem müssen auch Kunden auf die interne Anwendung zugreifen, das wäre doch dann über einen Azure B2B User und einem Application Proxy möglich, oder? Macht das Sinn was ich mir hier überlegt habe? Gerne weitere Fragen stellen falls was unklar ist. Ich bin um eine zweite (und auch dritte, vierte und fünfte) Meinung dankbar. LG theonlybrand bearbeitet 5. August 2019 von theonlybrand Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 6. August 2019 Melden Teilen Geschrieben 6. August 2019 Moin, kurz gesagt: SAML kann man nicht einfach von außen dranflanschen, das muss eine Applikation selbst unterstützen. Die Details deiner Frage habe ich leider nicht verstanden. Gruß, Nils Zitieren Link zu diesem Kommentar
theonlybrand 0 Geschrieben 6. August 2019 Autor Melden Teilen Geschrieben 6. August 2019 (bearbeitet) Ich möchte eine interne Anwendung über den Azure Application Proxy für externe Zugriffe ermöglichen. Diese Zugriffe erfolgen über einen Gastaccount im AD. Den Application Proxy möchte ich ja nutzen, um die lokale Anwendung per MFA anzusteuern, sowohl von den eigenen Mitarbeitern, als auch von Kunden (Gastkonto im AAD) bearbeitet 6. August 2019 von theonlybrand Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 6. August 2019 Melden Teilen Geschrieben 6. August 2019 Moin, ob das klappt, hängt von der Applikation ab. Mehr lässt sich auf Basis der Informationen leider nicht dazu sagen. Gruß, Nils Zitieren Link zu diesem Kommentar
theonlybrand 0 Geschrieben 6. August 2019 Autor Melden Teilen Geschrieben 6. August 2019 Die Applikation stellt sowohl ein Webportal, als auch einen nativen Client zur Verfügung. Kann der native Client auch über den Application Proxy angesteuert werden? Ich meine gelesen zu haben, dass das mit ADAL möglich ist Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 6. August 2019 Melden Teilen Geschrieben 6. August 2019 Moin, Ich weiß nicht, was daran noch unklar ist: das musst du alles den Hersteller der Applikation fragen. Wenn kein SAML vorgesehen ist, wirst du das nicht anbinden können. Gruß, Nils Zitieren Link zu diesem Kommentar
theonlybrand 0 Geschrieben 7. August 2019 Autor Melden Teilen Geschrieben 7. August 2019 Moin Nils, SAML ist möglich, ich frage mich nur, ob darüber auch ein native Client angesprochen werden kann, oder ob dann nur noch die Webapplikation von extern erreichbar ist. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 7. August 2019 Melden Teilen Geschrieben 7. August 2019 Moin, auch das kann bzw. muss dir der Hersteller der Applikation beantworten. Es ist sehr wahrscheinlich, aber nicht automatisch so. (Google etwa hat jahrelang SAML nur mit einem Teil seiner Apps unterstützt, vielleicht ist das sogar jetzt noch so.) Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.