Настройка 2FA ADFS в NEXTCLOUD?

Question

[Kornev888]

Стоит задача настроить 2FA ADFS в NEXTCLOUD. В официальной документации не нашёл полной инструкции для настройки 2FA ADFS. Настраивал с помощью форумов и интернета. Не могу понять ошибку "Пользователь не является членом требуемой группы". Если авторизовываюсь через "логин и пароль", то пользователь состоит в группе.

Можете подсказать, где я ошибаюсь?

Прикладываю скриншот настройки "Подтверждения подлинности".






При попытка авторизоваться через 2FA, спрашивает "ввести логин и пароль", после ввода данных ошибка "notPermitted"


Вот информация с журнала NEXTCLOUD.

Answer 1

[MVV]

А настроили ли вы на стороне ADFS передачу утверждения (claim) о членстве в группе , по которой вы фильтруете пользователей?
Пример настройки утверждения членства в группе есть в документации AD FS.

PS Имя группы на скриншоте ищите сами: я его вижу, но мне его руками набивать лень, а скопировать-вставить со скриншота нельзя. Надеюсь это вас убедит в следующий раз вставлять информацию по вопросу текстом.

Comments

[Kornev888]

Попытался настроить claim о членстве в группе по документации.
Появились уточнения по настройке группы.

Outgoing claim type: как нашёл в интернете, установил Authentication method. Возможно я ошибся именно тут, потому что не смог определённо выбрать параметр утверждения.



Когда посмотрел логи на самом сервере, был вопрос почему в поле "user": "--" не указывается пользователь.

[MVV]

Outgoing claim type: как нашёл в интернете, установил Authentication method.

Kornev888, у меня есть серьезное подозрение, что нашли вы что-то не то: обычно этот тип утверждений используется по-другому. Но искать самому откровенно лень. Может, вам стоит искать не в интернетах, а в документации NEXTCLOUD, какие именно типы утверждений оно ожидает, а потом настроить нужные правила в ADFS? Тип утверждения - это URI, так что при необходимости типы можно сопоставить точно, а не по сходству названий.