Het is mogelijk om DFS te gebruiken als IdP en tegelijkertijd MFA te gebruiken van Okta om zo een extra beveiligde authenticatie methode te generen voor de gebruikers die aanloggen middels ADFS.
De installatie handleiding is hier te vinden: MFA for Active Directory Federation Services (ADFS)
Bij Windows Server 2019 of Windows Server 2016 met update kb4493473 of kb4507459: bij deze Windows Server is een nieuwe security feature geïntroduceerd die er voor zorgt dat er "customer HTTP Headers" verzonden mogen worden door de ADFS server. Dit kan resulteren in een "Request to server has been blocked by extension", zie onderstaand screenshot en Customize HTTP security response headers with AD FS 2019
Let op: Alvorens onderstaand Powershell Commando te runnen, is het van belang om eerst na te gaan of dat er geen adblocker van toepassing is op het device en/of de IT policies het blokkeren van Java of andere scripts blokkeert!
Via onderstaand Powershell Command kan de juiste toestemming ingesteld worden. Vervang hierbij xxxx.okta.com door uw eigen Okta Domein. Bijvoorbeeld: realconnections.okta.com of realconnections.okta-emea.com
Set-AdfsResponseHeaders -SetHeaderName "Content-Security-Policy" -SetHeaderValue "default-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self'; frame-src xxx.okta.com "
Als er al een bestaande Content Security Policy (CSP) is ingesteld, dan is het mogelijk om onderstaand script te runnen om de nodige aanpassingen te doen in de bestaande CSP:
$apihostname = "xxx.okta.com" $CSP = ((Get-AdfsResponseHeaders | Select -ExpandProperty ResponseHeaders).'Content-Security-Policy') $CSP = $CSP + "; frame-src " + $apihostname Set-AdfsResponseHeaders -SetHeaderName "Content-Security-Policy" -SetHeaderValue $CSP