Zjišťování domovské domény pro aplikaci

Objevování domovského světa (HRD) umožňuje Microsoft Entra ID určit příslušného poskytovatele identity (IDP) pro ověření uživatelů během přihlašování. Když se uživatelé přihlásí k tenantovi Microsoft Entra pro přístup k prostředku nebo k běžné přihlašovací stránce, zadají uživatelské jméno (UPN). Microsoft Entra ID používá tyto informace k určení správného umístění přihlášení.

Uživatelé jsou přesměrováni na jednoho z následujících zprostředkovatelů identity pro ověřování:

• Domovský tenant uživatele (který může být stejný jako tenant prostředku).
• Účet Microsoft, pokud je uživatel hostem v tenantu prostředků a používá spotřebitelský účet.
• Místní zprostředkovatel identity, jako je Active Directory Federation Services (ADFS).
• Jiný zprostředkovatel identity federovaný s tenantem Microsoft Entra.

Automatická akcelerace

Organizace můžou nakonfigurovat domény ve svém tenantovi Microsoft Entra tak, aby se federovaly s jiným zprostředkovatelem identity, jako je ADFS, pro ověřování uživatelů. Když se uživatelé přihlásí k aplikaci, zpočátku se jim zobrazí přihlašovací stránka Microsoft Entra. Pokud patří do federované domény, budou přesměrováni na přihlašovací stránku zprostředkovatele identity pro danou doménu. Správci můžou chtít obejít počáteční stránku ID Microsoft Entra pro konkrétní aplikace, proces označovaný jako "automatické zrychlení přihlašování".

Microsoft nedoporučuje konfiguraci automatické akcelerace, protože může bránit silnějším metodám ověřování, jako je FIDO, a může také omezit spolupráci. Další informace najdete v tématu Povolení bezheslového přihlášení pomocí bezpečnostního klíče. Informace o tom, jak zabránit automatické akceleraci přihlašování, najdete v tématu Zakázání přihlášení automatické akcelerace.

Automatické urychlení může zjednodušit přihlašování pro tenanty federované s jiným poskytovatelem identity. Můžete ho nakonfigurovat pro jednotlivé aplikace. Informace o vynucení automatické akcelerace pomocí HRD najdete v tématu Konfigurace automatické akcelerace.

Poznámka:

Konfigurace aplikace pro automatickou akceleraci zabraňuje uživatelům v používání spravovaných přihlašovacích údajů (jako je FIDO) a hostům v přihlášení. Přesměrování uživatelů na federovanou zprostředkovatelku identity za účelem ověření obchází přihlašovací stránku Microsoft Entra a brání hostujícím uživatelům v přístupu k jiným tenantům nebo externím zprostředkovatelkám identity, například k účtům Microsoft.

Ovládejte automatické urychlení u federovaného IdP třemi způsoby:

• Použijte nápovědu k doméně pro žádosti o ověření pro aplikaci.
• Nakonfigurujte zásadu HRD tak, aby vynutil automatické zrychlení.
• Nakonfigurujte zásadu HRD tak, aby ignorovala nápovědy k doménám pro konkrétní aplikace nebo domény.

Dialogové okno Potvrzení domény

Od dubna 2023 můžou organizace používající automatické zrychlení nebo inteligentní odkazy narazit na novou obrazovku v uživatelském rozhraní pro přihlášení s názvem Dialogové okno potvrzení domény. Tato obrazovka je součástí úsilí Microsoftu o posílení zabezpečení a vyžaduje, aby uživatelé potvrdili doménu tenanta, ke kterého se přihlašují.

Co potřebujete udělat

Když se zobrazí dialogové okno potvrzení domény:

• Zkontrolujtedomény: Ověřte, že název domény na obrazovce odpovídá organizaci, ke které se chcete přihlásit, například contoso.com.
  • Pokud rozpoznáte doménu, vyberte Potvrdit pro pokračování.
  • Pokud doménunerozpoznáte, zrušte proces přihlášení a požádejte o pomoc správce IT.

Součásti dialogového okna Potvrzení domény

Následující snímek obrazovky ukazuje příklad toho, jak by mohlo vypadat dialogové okno potvrzení domény:

Identifikátor v horní části dialogového okna kelly@contoso.compředstavuje identifikátor použitý k přihlášení. Doména tenanta uvedená v hlavičce dialogového okna a podheader zobrazuje doménu domovského tenanta účtu.

Toto dialogové okno se nemusí zobrazit pro každou instanci automatické akcelerace nebo inteligentních odkazů. Pokud vaše organizace vymaže soubory cookie kvůli zásadám prohlížeče, můžou se objevit často dialogová okna potvrzení domény. Dialogové okno Potvrzení domény by nemělo způsobit poškození aplikace, protože Microsoft Entra ID spravuje tok automatizovaného urychleného přihlášení.

Rady k doméně

Nápovědy k doméně jsou direktivy v požadavcích na ověřování z aplikací, které můžou uživatelům urychlit přihlašování na federovanou přihlašovací stránku zprostředkovatele identity. Víceklientní aplikace je můžou použít k nasměrování uživatelů na přihlašovací stránku Microsoft Entra pro svého tenanta.

Například "largeapp.com" může povolit přístup prostřednictvím vlastní adresy URL "contoso.largeapp.com" a zahrnout nápovědu domény contoso.com do žádosti o ověření.

Syntaxe nápovědy domény se liší podle protokolu:

• WS-Federation: whr parametr řetězce dotazu, například whr=contoso.com.
• SAML: Žádost o ověření SAML s nápovědou k doméně nebo whr=contoso.com.
• OpenID Connect: domain_hint parametr řetězce dotazu, například domain_hint=contoso.com.

Microsoft Entra ID přesměruje přihlášení na nakonfigurovaný protokol IDP pro doménu, pokud obě následujících případů jsou pravdivé:

• Do žádosti o ověření je zahrnutá nápověda k doméně.
• Tenant je federovaný s danou doménou.

Pokud nápověda k doméně neodkazuje na ověřenou federovanou doménu, můžete ji ignorovat.

Poznámka:

Nápověda pro doménu v žádosti o ověření přepíše automatické zrychlení nastavené pro aplikaci v zásadách HRD.

Zásady HRD pro automatické zrychlení

Některé aplikace neumožňují konfiguraci žádostí o ověření. V takových případech není možné použít doménové nápovědy k ovládání automatického urychlení. Použijte zásadu zjišťování domovské sféry pro konfiguraci automatického zrychlení.

Zásady HRD pro zabránění automatické akceleraci

Některé aplikace Microsoftu a SaaS automaticky zahrnují nápovědu pro doménu, což může narušit zavádění spravovaných přihlašovacích údajů, například FIDO. Pomocí Zásad Home Realm Discovery ignorujte tipy domény z určitých aplikací nebo domén při zavádění spravovaných přihlašovacích údajů.

Povolení přímého ověřování ROPC federovaných uživatelů pro starší verze aplikací

Osvědčeným postupem je, aby aplikace používaly knihovny Microsoft Entra a interaktivní přihlašování k ověřování uživatelů. Starší verze aplikací používajících přihlašovací údaje vlastníka prostředku (ROPC) můžou odesílat přihlašovací údaje přímo do Microsoft Entra ID bez pochopení federace. Neprovádějí HRD ani nekomuagují se správným federovaným koncovým bodem. Pomocí zásad zjišťování domovské sféry můžete povolit konkrétním starším aplikacím ověřování přímo s Microsoft Entra ID. Tato možnost funguje, pokud je povolená synchronizace hodnot hash hesel.

Důležité

Povolte přímé ověřování pouze tehdy, je-li aktivní synchronizace hesel prostřednictvím hash a je přijatelné ověřovat aplikaci bez zásad identity poskytovaných místními zprostředkovateli. Pokud je synchronizace hodnot hash hesel nebo synchronizace adresářů se službou AD Connect zakázaná, odeberte tuto zásadu, abyste zabránili přímému ověřování se zastaralými hodnotami hash hesel.

Nastavení zásad HRD

Nastavení zásad HRD v aplikaci pro automatickou akceleraci federovaného přihlašování nebo přímé cloudové aplikace:

• Vytvořte zásadu HRD.
• Vyhledejte objekt služby pro připojení zásady.
• Připojte zásadu k instančnímu objektu.

Zásady nabývají účinnosti pro konkrétní aplikaci, když jsou připojeny k principálu služby. Na hlavním objektu služby může být současně aktivní jen jedna zásada HRD. K vytváření a správě zásad HRD použijte rutiny Microsoft Graph PowerShellu.

Příklad definice zásad HRD:

{  
  "HomeRealmDiscoveryPolicy": {  
    "AccelerateToFederatedDomain": true,  
    "PreferredDomain": "federated.example.edu",  
    "AllowCloudPasswordValidation": false  
  }  
}  

• AccelerateToFederatedDomain: Volitelné. Pokud je nepravda, zásady nemají vliv na automatické zrychlení. Pokud je hodnota true a existuje jedna ověřená federovaná doména, uživatelé jsou přesměrováni na federovaný zprostředkovatel identity. Pokud existuje více domén, zadejte PreferredDomain.
• PreferredDomain: Volitelné. Označuje doménu pro zrychlení. Pokud existuje jenom jedna federovaná doména, vynechá se. Pokud je prvek vynechán ve vztahu k více doménám, politika nemá žádný vliv.
• AllowCloudPasswordValidation: Volitelné. Pokud je hodnota true, umožňuje ověřování federovaných uživatelů prostřednictvím přihlašovacích údajů uživatelského jména a hesla přímo do koncového bodu tokenu Microsoft Entra, což vyžaduje synchronizaci hodnot hash hesel.

Další možnosti HRD na úrovni tenanta:

• AlternateIdLogin: Volitelné. Povolí AlternateLoginID pro přihlášení pomocí e-mailu namísto UPN na přihlašovací stránce Microsoft Entra. Spoléhá na to, že uživatelé nejsou automaticky akcelerovaní na federovaný protokol IDP.
• DomainHintPolicy: Nepovinný složitý objekt, který brání doménovým nápovědám v automatickém urychlení uživatelů na federované domény. Zajišťuje, že aplikace, které odesílají doménové náznaky, nezabrání přihlašování ke spravovaným cloudovým přihlašovacím údajům.

Priorita a hodnocení zásad HRD

Zásady HRD se dají přiřadit organizacím a služebním principálům, což umožňuje použití více zásad pro aplikaci. ID Microsoft Entra určuje prioritu pomocí těchto pravidel:

• Pokud je přítomen doménový tip, zásady HRD nájemce zkontrolují, zda by měly být ignorovány. Pokud je to povolené, použije se chování nápovědy pro doménu.
• Pokud je k instančnímu objektu explicitně přiřazená zásada, vynucuje se.
• Pokud neexistuje žádný doménový náznak nebo zásady pro hlavní službu, vynutí se zásada přiřazená mateřské organizaci.
• Pokud nejsou přiřazeny žádné rady nebo zásady domény, použije se výchozí chování HRD.

Další kroky

• Konfigurace chování přihlašování pro aplikaci pomocí politiky zjišťování domovské domény
• Zákaz automatické akcelerace federovaného ZDP během přihlašování uživatele pomocí zásad zjišťování domovské sféry