Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym dokumencie opisano, jakie asercje wymaga Microsoft Entra ID od dostawcy tożsamości federacyjnej (IdP) do honorowania skonfigurowanych wartości federatedIdpMfaBehaviour: acceptIfMfaDoneByFederatedIdp i enforceMfaByFederatedIdp dla Języka Znaczników Asercji Zabezpieczeń (SAML) i federacji WS-Fed.
Napiwek
Konfigurowanie Microsoft Entra ID z federacyjnym dostawcą tożsamości jest opcjonalne. Firma Microsoft Entra zaleca metody uwierzytelniania dostępne w identyfikatorze Entra firmy Microsoft.
- Microsoft Entra ID obejmuje obsługę metod uwierzytelniania, które wcześniej były dostępne tylko za pośrednictwem federacyjnego IdP, takich jak uwierzytelnianie za pomocą certyfikatów/kart inteligentnych, z użyciem Entra Certificate Based Authentication.
- Microsoft Entra ID obejmuje wsparcie dla integracji zewnętrznych dostawców MFA z metodami uwierzytelniania zewnętrznego
- Aplikacje zintegrowane z federacyjnym IdP mogą być zintegrowane bezpośrednio z usługą Microsoft Entra ID
Używanie dostawcy tożsamości (IdP) federacyjnej WS-Fed lub SAML 1.1
Jeśli administrator opcjonalnie konfiguruje dzierżawę Microsoft Entra ID do używania federacyjnego dostawcy tożsamości z wykorzystaniem federacji WS-Fed, Microsoft Entra przekierowuje użytkownika do dostawcy tożsamości w celu uwierzytelnienia. Oczekuje się odpowiedzi w postaci Odpowiedzi na żądanie tokenu zabezpieczającego (RSTR), która zawiera asercję SAML 1.1. Jeśli skonfigurowano taką opcję, Microsoft Entra honoruje uwierzytelnianie wieloskładnikowe wykonywane przez dostawcę tożsamości, jeśli obecne jest jedno z następujących dwóch roszczeń:
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
Można je uwzględnić w asercji w ramach elementu AuthenticationStatement. Na przykład:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
Można je również uwzględnić w twierdzeniu w ramach elementów AttributeStatement. Na przykład:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Korzystanie z częstotliwości logowania i kontroli sesji za pomocą zasad dostępu warunkowego WS-Fed lub SAML 1.1
częstotliwość logowania używa UserAuthenticationInstant (http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstantasercji SAML), czyli AuthInstant pierwszego etapu uwierzytelniania za pomocą hasła dla protokołu SAML1.1/WS-Fed.
Używanie federacyjnego dostawcy tożsamości SAML 2.0
Jeśli administrator opcjonalnie konfiguruje dzierżawcę Microsoft Entra ID do używania federacyjnego dostawcy tożsamości przy użyciu federacji SAMLP/SAML 2.0, Microsoft Entra przekierowuje do tego dostawcy tożsamości na potrzeby uwierzytelniania i oczekuje odpowiedzi zawierającej asercję SAML 2.0. Asercje uwierzytelniania wieloskładnikowego dla ruchu przychodzącego muszą znajdować się w elemencie AuthnContext elementu AuthnStatement.
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
W związku z tym aby asercje MFA dla ruchu przychodzącego były przetwarzane przez Microsoft Entra, muszą być obecne w elemencie AuthnContextAuthnStatement. W ten sposób można przedstawić tylko jedną metodę.
Korzystanie z częstotliwości logowania i kontroli dostępu warunkowego za pomocą protokołu SAML 2.0
Częstotliwość logowania korzysta z AuthInstant dla uwierzytelniania wieloskładnikowego lub uwierzytelniania pierwszego czynnika, podanych w AuthnStatement. Wszelkie asercje zawarte w sekcji AttributeReference ładunku są ignorowane, w tym http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.