Totul este la nivel funcțional 2019.
Găzduim WAP-urile noastre ADFS în Azure. Deoarece serverele Azure sunt înregistrate în Azure AD, au CA Azure DRS în lanțul de încredere și, prin urmare, WAP-urile sunt dispuși să accepte certificate de dispozitiv înregistrate pentru orice stație de lucru, chiar dacă acele dispozitive nu sunt de fapt înregistrate la chiriașul nostru. Acest lucru are un efect secundar de a solicita utilizatorilor certificate pe care serverul trebuie sa să putem avea încredere, dar pe care nu le acceptăm pentru autentificare (pentru că dispozitivele sunt înregistrate la alt chiriaș).
Deci, fluxul potrivit aici este ca utilizatorii să anuleze pur și simplu solicitarea de certificat, dar asta nu este deosebit de intuitiv. În plus, în curând vom implementa clienților un site web unde le vom crea conturile AD în directorul nostru, astfel încât aceștia să se autentifice prin ADFS. Aceasta înseamnă că, dacă organizația lor utilizează înregistrarea dispozitivului Azure AD, clientul va avea, teoretic, un certificat valid în ceea ce privește serverul web și, astfel, utilizatorului i se va cere să-l transmită.
Există o modalitate de a activa autentificarea certificatelor numai pentru dispozitive, astfel încât utilizatorii să nu fie solicitați pentru certificate?
