Опубликовать внутреннее приложение SAML для мобильных пользователей в среде MS?

Question

Что является самым безопасным способом предоставления сотрудникам мобильных приложений и мобильных приложений доступа к приложениям с поддержкой SAML 2.0, которые размещены в нашей интрасети. Мы будем использовать MS Intune (MDM) для отправки сертификатов на устройства, поэтому мы предпочитаем, чтобы они могли использоваться для аутентификации. Внутренним приложениям потребуются заявки от местного AD (группы, местоположение и т. Д.) В билете SAML. У нас уже есть локальная ADFS.

Я склоняюсь к Azure AD Application Proxy. Будет ли он вместе с разъемом поддерживать все функции, которые нам нужны, или лучшее решение?

Answer 1

Да, это хорошее решение, я думаю. Вы можете настроить ADFS на использование сертификата для первичной аутентификации. Если вы разворачиваете сертификаты в группу пользователей, сертификаты будут применяться только на мобильных устройствах, которые были зарегистрированы в Intune, а также с учетом близости пользователей к указанным пользователям.

Также вы можете использовать функцию условного доступа на основе устройств в Intune, чтобы убедиться, что только устройства, соответствующие вашей политике соответствия, будут иметь доступ к корпоративным ресурсам.