Les utilisateurs fédérés dans Azure Active Directory devront peut-être se connecter deux fois avant d’être invités à utiliser l’authentification multifacteur

Cet article traite d’un problème dans lequel les utilisateurs fédérés d’Azure Active Directory doivent se connecter à deux reprises pour pouvoir exécuter l’authentification multifacteur.

Version du produit d’origine :   Azure Active Directory
Numéro de la base de connaissances initiale :   4037806

Symptômes

Prenons l’exemple du scénario suivant :

  • Vous disposez d’un client Azure Active Directory (Azure AD) dans lequel les utilisateurs sont fédérés via les services fédérés Active Directory (AD FS).
  • Dans ce client, le serveur Azure MFA ou un fournisseur MFA tiers est déployé dans les services ADFS (Active Directory Federation Services).

Dans ce scénario, les utilisateurs peuvent être obligés de se connecter en fournissant le nom d’utilisateur et le mot de passe deux fois avant qu’ils ne soient invités à utiliser l’authentification multifacteur (MFA) et puissent terminer l’ouverture de session.

Cause

Si la valeur de MsolDomainFederationSettings-SupportsMFA est définie sur $true et que la valeur de-PromptLoginBehavior est définie sur TRANSLATETOFRESHPASSWORDAUTH, Azure ad envoie la demande MFA au fournisseur d’identité pour l’authentification de plus en plus. Azure AD demande également une nouvelle connexion de l’utilisateur. Pour ce faire, vous pouvez envoyer les paramètres suivants à AD FS :

wauth=http://schemas.microsoft.com/claims/multipleauthn
wfresh=0

Dans ce cas, l’utilisateur est invité une deuxième fois pour son nom d’utilisateur et son mot de passe, qu’ils se connectent ou non. Les utilisateurs ne sont invités à fournir une authentification MFA qu’après avoir entré leurs informations d’identification une seconde fois.

Résolution

Pour résoudre ce problème, vous devez configurer Azure AD pour permettre à AD FS de traiter en mode natif cette demande en modifiant le paramètre -PromptLoginBehavior sur NativeSupport. Pour cela, procédez comme suit :

Important

Votre déploiement AD FS doit être en cours d’exécution sur Windows Server 2016 ou Windows Server 2012 R2, et la mise à jour KB 3172614 de 2016 juillet doit être installée.

  1. Exécutez la Connect commande suivante pour vous connecter à votre compte d’administrateur Azure ad :

    Connect-Msolservice
    

    Notes

    Exécutez cette commande chaque fois que vous démarrez une nouvelle session.

  2. Configurez Azure AD pour exécuter l’authentification des utilisateurs fédérés à l’aide du comportement prompt = login . Cela empêche l’utilisateur de commencer une nouvelle authentification. Par exemple, exécutez une commande comme celle qui suit, qui inclut les informations propres à votre client :

    Set-MsolDomainFederationSettings -DomainNameyour_domain_name-PreferredAuthenticationProtocol <current auth setting such as WsFed> -SupportsMfa $True -PromptLoginBehavior NativeSupport