Vraag

vrijdag 2 september 2022 21:06

Acties:
  • 0 Henk 'm!
  • cooLopke
  • Registratie: Juli 2013
  • Laatst online: 17-09 23:00

cooLopke

Topicstarter
Beste,

Momenteel gebruiken we Azure AD Free. We hebben onlangs Citrix virtuals apps en desktop licenties aangekocht en ik heb gevonden dat de netscaler 2FA kan doen via o.a. ldap en Radius. Die radius zal dus een NPS met de Azure mfa extensie worden. Nu, blijkbaar moet je dan Azure AD premium P1 hebben. Wat me niet duidelijk is of dat elke user licentie dan minimum E3 moet zijn om de premium P1 functie te gebruiken of is 1 licentie die Azure Ad premium P1 heeft voldoende?

Iemand die dit weet? Bedankt alvast.

[ Voor 9% gewijzigd door cooLopke op 02-09-2022 21:15 ]

Beste antwoord (via cooLopke op 04-09-2022 02:16)

zaterdag 3 september 2022 07:25

  • ZeRoC00L
  • Registratie: Juli 2000
  • Niet online

ZeRoC00L

?

Het werkt allemaal prima zodra je minimaal 1 ems e3 of ad premium p1 licentie op je tenant hebt zitten. Alleen officieel heb je volgens Microsoft voorwaarden gewoon voor iedere gebruiker een licentie nodig.
Ad premium p1 is voldoende, zeker als je geen andere functies uit ems gaan gebruiken zou ik die aanschaffen

[*] Error 45: Please replace user
Volg je bankbiljetten

Alle reacties

vrijdag 2 september 2022 21:19

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 18-09 13:08

MAX3400

XBL: OctagonQontrol

Je hebt hopelijk een Citrix ADC VPX en geen "ouderwetse" Netscaler?

Anyhow, https://www.deyda.net/ind...h-azure-mfa/#Requirements & https://christiaanbrinkho...ng-the-new-nps-extension/ geven aan dat je met Premium en EMS+, denk ik, voldoet aan jouw vraagstelling.

Hou er wel even rekening mee (afhankelijk van hoe je precies NPS en de ADC wil "koppelen / samenwerken"; Citrix EPA (hoe leuk het ook klinkt) is best bewerkelijk en kan niet voor elke client netjes uitgerold. Aangezien je dus mogelijk gebruik zal gaan maken van Premium P1, zitten daar al zat tools/opties bij om met NPS te gaan samenwerken. Voor zover ik je startpost logisch lees, ga je dus met Application Traffic Authentication werken om de ADC "door te sturen" naar je Radius-server(s)?
Wat ik al gevonden of geprobeerd heb
...
Dat "moet" jouw Citrix-reseller en/of Microsoft-reseller jou exact kunnen vertellen ;)

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

vrijdag 2 september 2022 21:21

Acties:
  • +1 Henk 'm!
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 17-09 15:29

Rolfie

Waarom geen AzureAD icm SAML authenticatie richting AzureAD? Werkt veel mooier denk ik?
indien je Conditional access gebruikt, zal je nog steeds een Azure P1 licentie nodig hebben, maar werkt wel veel mooier en netter. Helaas wel Citrix FAS nodig voor een SSO experience. Maar is wel veel moderner.

Maar icm je radius zal iedere gebruiker die hiervan gebruikt maakt, ook een P1 licentie nodig hebben.

vrijdag 2 september 2022 21:37

Acties:
  • 0 Henk 'm!
  • MAX3400
  • Registratie: Mei 2003
  • Laatst online: 18-09 13:08

MAX3400

XBL: OctagonQontrol

Rolfie schreef op vrijdag 2 september 2022 @ 21:21:
Helaas wel Citrix FAS nodig voor een SSO experience. Maar is wel veel moderner.
Voordeel van FAS is dat je kan load-balancen omdat het "maar" een service is en je de bijbehorende IP's/FQDN kan opvoeren in je configuratie. Hiermee is het inderdaad een mooie oplossing; je kan de FAS-servers ook individueel upgraden wat erg scheelt in de planning & uitvoering van patches / maintenance.

Dat gezegd hebbende; ik weet niet of het slimmer is/zou zijn om de ADC high(er) available te maken; als dat zometeen het enige ingangspunt is en dat ding klettert omver, dan stopt de dagelijkse gang van zaken vrij rap. Ook zal je rekening moeten houden met de Feature of Maintenance Phase van de firmwares; die cycles (en vulnerabilities) volgen elkaar best snel op.

Mijn advertenties!!! | Mijn antwoorden zijn vaak niet snowflake-proof

zaterdag 3 september 2022 00:02

Acties:
  • 0 Henk 'm!
  • cooLopke
  • Registratie: Juli 2013
  • Laatst online: 17-09 23:00

cooLopke

Topicstarter
Rolfie schreef op vrijdag 2 september 2022 @ 21:21:
Waarom geen AzureAD icm SAML authenticatie richting AzureAD? Werkt veel mooier denk ik?
indien je Conditional access gebruikt, zal je nog steeds een Azure P1 licentie nodig hebben, maar werkt wel veel mooier en netter. Helaas wel Citrix FAS nodig voor een SSO experience. Maar is wel veel moderner.

Maar icm je radius zal iedere gebruiker die hiervan gebruikt maakt, ook een P1 licentie nodig hebben.
Voor zover ik gelezen heb werkt saml niet icm netscaler adc standard, vandaar.
Edit: ik ben mis het is nfactor wat niet werkt. Alhoewel ik nog niet zeker ben over of saml nu werkt of niet met standard license

[ Voor 8% gewijzigd door cooLopke op 03-09-2022 00:30 ]

zaterdag 3 september 2022 00:16

Acties:
  • 0 Henk 'm!
  • cooLopke
  • Registratie: Juli 2013
  • Laatst online: 17-09 23:00

cooLopke

Topicstarter
MAX3400 schreef op vrijdag 2 september 2022 @ 21:19:
Je hebt hopelijk een Citrix ADC VPX en geen "ouderwetse" Netscaler?

Anyhow, https://www.deyda.net/ind...h-azure-mfa/#Requirements & https://christiaanbrinkho...ng-the-new-nps-extension/ geven aan dat je met Premium en EMS+, denk ik, voldoet aan jouw vraagstelling.

Hou er wel even rekening mee (afhankelijk van hoe je precies NPS en de ADC wil "koppelen / samenwerken"; Citrix EPA (hoe leuk het ook klinkt) is best bewerkelijk en kan niet voor elke client netjes uitgerold. Aangezien je dus mogelijk gebruik zal gaan maken van Premium P1, zitten daar al zat tools/opties bij om met NPS te gaan samenwerken. Voor zover ik je startpost logisch lees, ga je dus met Application Traffic Authentication werken om de ADC "door te sturen" naar je Radius-server(s)?


[...]

Dat "moet" jouw Citrix-reseller en/of Microsoft-reseller jou exact kunnen vertellen ;)
Het is idd de 2de link die ik wou toepassen van christiaan. De artikels zeggen idd dat je 1 licentie van Ems licentie nodig hebt. Het is dat wat ik niet wist of dit al dan niet "user based" gezien wordt om via een dienst met 2fa aan te loggen. Het is idd netscaler adc vpx standard.

Dan maar eens een POC proberen op te zetten. Thanks!

[ Voor 4% gewijzigd door cooLopke op 03-09-2022 00:33 ]

zaterdag 3 september 2022 07:25

Acties:
  • Beste antwoord
  • +2 Henk 'm!
  • ZeRoC00L
  • Registratie: Juli 2000
  • Niet online

ZeRoC00L

?

Het werkt allemaal prima zodra je minimaal 1 ems e3 of ad premium p1 licentie op je tenant hebt zitten. Alleen officieel heb je volgens Microsoft voorwaarden gewoon voor iedere gebruiker een licentie nodig.
Ad premium p1 is voldoende, zeker als je geen andere functies uit ems gaan gebruiken zou ik die aanschaffen

[*] Error 45: Please replace user
Volg je bankbiljetten

zaterdag 3 september 2022 08:19

Acties:
  • 0 Henk 'm!
  • Rolfie
  • Registratie: Oktober 2003
  • Laatst online: 17-09 15:29

Rolfie

cooLopke schreef op zaterdag 3 september 2022 @ 00:02:
Voor zover ik gelezen heb werkt saml niet icm netscaler adc standard, vandaar.
Edit: ik ben mis het is nfactor wat niet werkt. Alhoewel ik nog niet zeker ben over of saml nu werkt of niet met standard license
In de standard licentie is SAML ook niet mogelijk. Bron

zaterdag 3 september 2022 08:58

Acties:
  • 0 Henk 'm!
  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 19:19

HKLM_

ZeRoC00L schreef op zaterdag 3 september 2022 @ 07:25:
Het werkt allemaal prima zodra je minimaal 1 ems e3 of ad premium p1 licentie op je tenant hebt zitten. Alleen officieel heb je volgens Microsoft voorwaarden gewoon voor iedere gebruiker een licentie nodig.
Ad premium p1 is voldoende, zeker als je geen andere functies uit ems gaan gebruiken zou ik die aanschaffen
Dit inderdaad, 1 licentie op het “admin” account bijvoorbeeld is voldoende. Maar om license compliant te zijn moet iedere user eigenlijk een eigen licentie hebben. De EMS E3 is daar bijvoorbeeld een mooie license voor. Krijg je wel meer dan Ad P1 maar dat is eerder voordeel dan nadeel :P

Cloud ☁️

zondag 4 september 2022 02:16

Acties:
  • 0 Henk 'm!
  • cooLopke
  • Registratie: Juli 2013
  • Laatst online: 17-09 23:00

cooLopke

Topicstarter
Thanks! Dan weet ik voldoende!

zondag 4 september 2022 08:02

Acties:
  • +1 Henk 'm!
  • Endpoint
  • Registratie: April 2016
  • Laatst online: 12-09 10:42

Endpoint

SAML werkt wel tegenwoordig op standard, moet je minimaal versie 13.0 release 67 uit mijn hoofd hebben. Je kan alleen geen aaa vserver normaal aanmaken, maar wel vanuit de gateway configuratie.

Je hebt geen p1 nodig voor mfa, gratis doet het ook maar dan heb je alleen basic de app

zondag 4 september 2022 08:07

Acties:
  • 0 Henk 'm!
  • pistole
  • Registratie: Juli 2000
  • Laatst online: 17-09 21:27

pistole

Frutter

Endpoint schreef op zondag 4 september 2022 @ 08:02:
Je hebt geen p1 nodig voor mfa, gratis doet het ook maar dan heb je alleen basic de app
Dat is een belangrijke toevoeging. Als je geen CA maar wel MFA nodig hebt, dan heb je geen p1 nodig. Je kan ook overwegen om rechtstreeks SAML te doen van de NetScaler (ADC) naar AzureAD.

Ik frut, dus ik epibreer

zondag 4 september 2022 19:19

Acties:
  • 0 Henk 'm!
  • cooLopke
  • Registratie: Juli 2013
  • Laatst online: 17-09 23:00

cooLopke

Topicstarter
Endpoint schreef op zondag 4 september 2022 @ 08:02:
SAML werkt wel tegenwoordig op standard, moet je minimaal versie 13.0 release 67 uit mijn hoofd hebben. Je kan alleen geen aaa vserver normaal aanmaken, maar wel vanuit de gateway configuratie.

Je hebt geen p1 nodig voor mfa, gratis doet het ook maar dan heb je alleen basic de app
Ben je hier zeker van? Ik dacht dat je wel een azure Ad premium P1 nodig had, vermits je authenticatie doet via een 3de dienst. Zie MS artikel: https://docs.microsoft.co...n/howto-mfa-nps-extension
Prequisities: license gedeelte

[ Voor 3% gewijzigd door cooLopke op 04-09-2022 19:20 ]

maandag 5 september 2022 16:35

Acties:
  • +2 Henk 'm!
  • Endpoint
  • Registratie: April 2016
  • Laatst online: 12-09 10:42

Endpoint

Inderdaad, voor de NPS extensie heb je P1 nodig.

Als je de gateway direct naar SAML zet, dan hoeft het niet. Heb dit laatst nog bij een klant gebouwd.

maandag 5 september 2022 23:40

Acties:
  • 0 Henk 'm!
  • cooLopke
  • Registratie: Juli 2013
  • Laatst online: 17-09 23:00

cooLopke

Topicstarter
Endpoint schreef op maandag 5 september 2022 @ 16:35:
Inderdaad, voor de NPS extensie heb je P1 nodig.

Als je de gateway direct naar SAML zet, dan hoeft het niet. Heb dit laatst nog bij een klant gebouwd.
Eens testen met saml dan, de config ziet er wel ingewikkeld uit, ik ben niet zo thuis met een certificate authority server en die Citrix fas. Het zal de eerste keer zijn dan om het op te zetten. Het ziet er wel interessant uit, aangezien je dan direct het aanmeldscherm van Microsoft krijgt. Is dat ook zo binnen de workspace app? Heb je deze guide dan gebruikt? https://www.deyda.net/ind...uthentication_Service_FAS

En wat bij de laatste stap werkt dit dan? "CONVERT USERS FROM PER-USER MFA TO CONDITIONAL ACCESS BASED MFA"

dinsdag 6 september 2022 19:49

Acties:
  • 0 Henk 'm!
  • Endpoint
  • Registratie: April 2016
  • Laatst online: 12-09 10:42

Endpoint

Onder andere ja. Houd rekening mee dat je geen AAA vserver direct aan kan maken, maar je dit via de gateway moet doen. Staat nog niet echt beschreven.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq