Jump to content

Recommended Posts

Hallo zusammen,

 

ich habe letzte Woche die Anforderung bekommen "Alle User müssen ab sofort MFA nutzen", Microsoft will das ab 1. August 2019 für alle CSP verpflichtend (Und ja ich wurde 2. August erst darauf angesprochen).

Nun habe ich natürlich nicht direkt die Baseline Policy "End User Protection" aktiviert, da intern noch ein paar Anwendungen mit Legacyprotokollen (IMAP, SMTP) arbeiten und diese dann nicht mehr funktionieren.

Jetzt habe ich mir überlegt, ob es nicht möglich wäre die MFA gegen einen ADFS Server (oder ist doch ein Cluster besser?) zu schicken, um die Anmeldung der internen Anwendungen zukünftig per SAML zu realisieren.

Zudem müssen auch Kunden auf die interne Anwendung zugreifen, das wäre doch dann über einen Azure B2B User und einem Application Proxy möglich, oder?

Macht das Sinn was ich mir hier überlegt habe?

 

Gerne weitere Fragen stellen falls was unklar ist.

Ich bin um eine zweite (und auch dritte, vierte und fünfte) Meinung dankbar.

 

LG theonlybrand

Edited by theonlybrand

Share this post


Link to post
Share on other sites

Moin,

 

kurz gesagt: SAML kann man nicht einfach von außen dranflanschen, das muss eine Applikation selbst unterstützen.

 

Die Details deiner Frage habe ich leider nicht verstanden.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Ich möchte eine interne Anwendung über den Azure Application Proxy für externe Zugriffe ermöglichen. Diese Zugriffe erfolgen über einen Gastaccount im AD. Den Application Proxy möchte ich ja nutzen, um die lokale Anwendung per MFA anzusteuern, sowohl von den eigenen Mitarbeitern, als auch von Kunden (Gastkonto im AAD)

Edited by theonlybrand

Share this post


Link to post
Share on other sites

Moin,

 

ob das klappt, hängt von der Applikation ab. Mehr lässt sich auf Basis der Informationen leider nicht dazu sagen.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Die Applikation stellt sowohl ein Webportal, als auch einen nativen Client zur Verfügung. Kann der native Client auch über den Application Proxy angesteuert werden? Ich meine gelesen zu haben, dass das mit ADAL möglich ist

Share this post


Link to post
Share on other sites

Moin,

 

Ich weiß nicht, was daran noch unklar ist: das musst du alles den Hersteller der Applikation fragen. Wenn kein SAML vorgesehen ist, wirst du das nicht anbinden können.

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Moin Nils,

 

SAML ist möglich, ich frage mich nur, ob darüber auch ein native Client angesprochen werden kann, oder ob dann nur noch die Webapplikation von extern erreichbar ist.

Share this post


Link to post
Share on other sites

Moin,

 

auch das kann bzw. muss dir der Hersteller der Applikation beantworten. Es ist sehr wahrscheinlich, aber nicht automatisch so. (Google etwa hat jahrelang SAML nur mit einem Teil seiner Apps unterstützt, vielleicht ist das sogar jetzt noch so.)

 

Gruß, Nils

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...