Все на функциональном уровне 2019 года.
Мы размещаем наши ADFS WAP в Azure. Поскольку серверы Azure зарегистрированы в Azure AD, они имеют ЦС Azure DRS в цепочке доверия, поэтому точки доступа готовы принимать зарегистрированные сертификаты устройств для Любые рабочая станция, хотя эти устройства на самом деле не зарегистрированы в нашем арендаторе. Побочным эффектом этого является запрос пользователями сертификатов, которые сервер должен иметь возможность доверять, но это мы не принимаем для проверки подлинности (поскольку устройства зарегистрированы в другом арендаторе).
Таким образом, правильный поток здесь для пользователей — просто отменить запрос сертификата, но это не особенно интуитивно понятно. Кроме того, вскоре мы развернем веб-сайт для клиентов, где мы создадим их учетные записи AD в нашем каталоге, чтобы они проходили аутентификацию через нашу ADFS. Это означает, что если их организация использует регистрацию устройств Azure AD, клиент теоретически будет иметь действительный сертификат для веб-сервера, и поэтому пользователю будет предложено передать его.
Есть ли способ включить аутентификацию сертификатов только для устройств, чтобы пользователи не запрашивали сертификаты?
