Freigeben über

Erfüllen der MFA-Kontrollen (Multi-Faktor-Authentifizierung) von Microsoft Entra ID mit MFA-Ansprüchen von einem Verbundidentitätsanbieter

  • Artikel

In diesem Dokument werden die Assertionen beschrieben, die Microsoft Entra ID von einem Verbundidentitätsanbieter (Identity Provider, IdP) benötigt, um konfigurierte federatedIdpMfaBehaviour-Werte von acceptIfMfaDoneByFederatedIdp und enforceMfaByFederatedIdp für den Security Assertion Markup Language (SAML)- und WS-Fed-Verbund zu berücksichtigen.

Tipp

Die Konfiguration von Microsoft Entra ID mit einem Verbundidentitätsanbieter ist optional. Microsoft Entra empfiehlt die Authentifizierungsmethoden, die in Microsoft Entra ID verfügbar sind.

Verwenden eines WS-Fed- oder SAML 1.1-Verbundidentitätsanbieters

Wenn ein Administrator seinen Microsoft Entra ID-Mandanten optional zur Verwendung eines Verbundidentitätsanbieters mithilfe des WS-Fed-Verbunds konfiguriert, leitet Microsoft Entra zum Durchführen der Authentifizierung an den Identitätsanbieter um und erwartet eine Antwort in Form einer Request Security Token Response (RSTR), die eine SAML 1.1-Assertion enthält. Wenn dies konfiguriert ist, berücksichtig Microsoft Entra die vom Identitätsanbieter durchgeführte MFA, wenn einer der folgenden beiden Ansprüche vorhanden ist:

  • http://schemas.microsoft.com/claims/multipleauthn
  • http://schemas.microsoft.com/claims/wiaormultiauthn

Sie können als Teil des AuthenticationStatement-Elements in der Assertion enthalten sein. Beispiel:

 <saml:AuthenticationStatement
    AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
    <saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>

Sie können auch als Teil der AttributeStatement-Elemente in der Assertion enthalten sein. Beispiel:

<saml:AttributeStatement>
  <saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
       <saml:AttributeValue>...</saml:AttributeValue> 
      <saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
  </saml:Attribute>
</saml:AttributeStatement>

Verwenden der Richtlinien für bedingten Zugriff für die Anmeldehäufigkeit und Sitzungssteuerung mit WS-Fed oder SAML 1.1

Anmeldehäufigkeit verwendet UserAuthenticationInstant (SAML-Assertion http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), was AuthInstant der Ein-Faktor-Authentifizierung anhand eines Kennworts für SAML 1.1/WS-Fed ist.

Verwenden eines SAML 2.0-Verbundidentitätsanbieters

Wenn ein Administrator seinen Microsoft Entra ID-Mandanten optional zur Verwendung eines Verbundidentitätsanbieters mithilfe des SAMLP/SAML 2.0-Verbunds konfiguriert, leitet Microsoft Entra zum Durchführen der Authentifizierung an den Identitätsanbieter um und erwartet eine Antwort, die eine SAML 2.0-Assertion enthält. Die eingehenden MFA-Assertionen müssen im AuthnContext-Element der AuthnStatement vorhanden sein.

<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
    <AuthnContext>
        <AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
    </AuthnContext>
</AuthnStatement>

Damit eingehende MFA-Assertionen von Microsoft Entra verarbeitet werden können, müssen sie daher im AuthnContext-Element der AuthnStatement vorhanden sein. Auf diese Weise kann nur eine Methode dargestellt werden.

Verwenden der Richtlinien für bedingten Zugriff für die Anmeldehäufigkeit und Sitzungssteuerung mit SAML 2.0

Anmeldehäufigkeit verwendet AuthInstant der MFA oder der Ein-Faktor-Authentifizierung, die in der AuthnStatement angegeben ist. Alle im Abschnitt AttributeReference der Nutzdaten freigegebenen Assertionen werden ignoriert, einschließlich http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.

Verwandte Inhalte

federatedIdpMfaBehaviour