ADFS MFA - Étendre le schéma AD pour YubiKey

Question

Notre société connecte de plus en plus de ses applications pour utiliser l'authentification SAML dans notre infrastructure ADFS et nous mettons sérieusement l'accent sur l'implémentation de méthodes d'authentification multi-factorielles, en particulier YubiKeys. Je vais utiliser l'exemple de codage de HERE pour écrire un fournisseur MFA personnalisé pour notre infrastructure ADFS (en utilisant ADFS 3.0, c'est-à-dire Windows Server 2012 R2) et avoir un 'bump' je n'ai pas de réponse claire pour. Pour que cela fonctionne correctement, le compte d'utilisateur doit être lié à un ID de jeton YubiKey # et le stocker dans AD est idéal. (J'ai vu quelques exemples où le fournisseur MFA est en fait une application web externe dont je ne veux pas.)

Initialement, j'utiliserai un des attributs d'extension de la classe User pour tester, mais finalement je vais créer un attribut dédié pour cela. Évidemment, cela aurait besoin d'une extension de schéma que je suis à l'aise de faire. Ce que je ne sais pas, c'est comment lire l'attribut hors AD pour que l'utilisateur authentifiant valide le yubikey qu'il a utilisé (c'est-à-dire pour s'assurer qu'il n'utilise pas quelqu'un d'autre). Quelqu'un pourrait-il me dire si c'est même possible?

Answer 1

Et je viens de répondre à ma propre question:

ajouter ce code à la classe AuthenticationAdapter:

private string GetDeviceId(string upn) 
    { 
     DirectoryEntry entry = new DirectoryEntry(); 
     DirectorySearcher mySearcher = new DirectorySearcher(entry, "(&(objectClass=user)(objectCategory=person)(userPrincipalName=" + upn + "))"); 
     SearchResult result = mySearcher.FindOne(); 
     string deviceId = (string)result.Properties["extensionAttribute10"][0]; 
     return deviceId; 
    }