Splňte ovládací prvky vícefaktorového ověřování (MFA) Microsoft Entra ID pomocí MFA deklarací z federovaného poskytovatele identity.
Tento dokument popisuje potvrzení, která Microsoft Entra ID vyžaduje od federovaného zprostředkovatele identity (IdP), aby respektoval nakonfigurované hodnoty federatedIdpMfaBehaviour acceptIfMfaDoneByFederatedIdp a enforceMfaByFederatedIdp pro jazyk Security Assertions Markup Language (SAML) a WS-Fed federaci.
Spropitné
Konfigurace MICROSOFT Entra ID pomocí federovaného zprostředkovatele identity je volitelné. Společnost Microsoft doporučuje metody ověřování dostupné v MICROSOFT Entra ID.
- ID Microsoft Entra zahrnuje podporu metod ověřování, které byly dříve dostupné pouze prostřednictvím federovaného zprostředkovatele identity, jako jsou certifikáty nebo čipové karty s ověřování založené na certifikátu Entra
- Microsoft Entra ID zahrnuje podporu pro integraci poskytovatelů MFA třetích stran s metodami externího ověřování
- Aplikace integrované s federovaným poskytovatelem identity je možné integrovat přímo s Microsoft Entra ID
Použití federovaného poskytovatele identity WS-Fed nebo SAML 1.1
Pokud správce volitelně nakonfiguruje svého tenanta Microsoft Entra ID tak, aby používal federovaného zprostředkovatele identity pomocí federace WS-Fed, Microsoft Entra přesměruje na zprostředkovatele identity pro ověřování a očekává odpověď ve formě odpovědi tokenu zabezpečení požadavku (RSTR) obsahující kontrolní výraz SAML 1.1. Pokud je nakonfigurováno, Microsoft Entra respektuje MFA provedené zprostředkovatelem identity, pokud je přítomen jeden z následujících dvou nároků:
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
Mohou být zahrnuty do kontrolního výrazu jako součást prvku AuthenticationStatement. Například:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
Nebo mohou být zahrnuty do asercí jako součást AttributeStatement prvky. Například:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Použití frekvence přihlašování a řízení podmíněného přístupu pomocí WS-Fed nebo SAML 1.1
frekvence přihlášení používá UserAuthenticationInstant (SAML tvrzení http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), což je AuthInstant prvního faktoru autentizace pomocí hesla pro SAML1.1/WS-Fed.
Použití federovaného zprostředkovatele identity SAML 2.0
Pokud správce volitelně nakonfiguruje tenanta Microsoft Entra ID tak, aby používal federovaného zprostředkovatele identity pomocí SAMLP/SAML 2.0 federace, Microsoft Entra přesměruje na zprostředkovatele identity pro ověřování a očekává odpověď, která obsahuje kontrolní výraz SAML 2.0. Příchozí výrazy MFA musí být přítomné v prvku AuthnContextAuthnStatement.
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
V důsledku toho musí být příchozí kontrolní výrazy vícefaktorového ověřování zpracovávané společností Microsoft Entra v AuthnContext prvku AuthnStatement. Tímto způsobem lze prezentovat pouze jednu metodu.
Použití frekvence přihlašování a řízení podmíněného přístupu pomocí SAML 2.0
frekvence přihlášení používá AuthInstant buď vícefaktorového ověřování, nebo ověřování prvního faktoru poskytnutého v AuthnStatement. Všechna prohlášení sdílená v oddílu AttributeReference datové části se ignorují, včetně http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.