Satisfacer los controles de autenticación multifactor (MFA) de Microsoft Entra ID con reclamaciones MFA de un IdP federado.
Este documento describe las afirmaciones que Microsoft Entra ID requiere de un proveedor de identidad federado (IdP) para respetar los valores federatedIdpMfaBehaviour configurados de acceptIfMfaDoneByFederatedIdp y enforceMfaByFederatedIdp para el lenguaje de marcado de afirmaciones de seguridad (SAML) y la federación WS-Fed.
Sugerencia
La configuración de Microsoft Entra ID con un IdP federado es opcional. Microsoft Entra recomienda los métodos de autenticación disponibles en Microsoft Entra ID.
- Microsoft Entra ID incluye compatibilidad con métodos de autenticación que anteriormente solo estaban disponibles a través de un IdP federado, como certificados o tarjetas inteligentes con Autenticación Basada en Certificados de Entra
- Microsoft Entra ID incluye soporte para la integración de proveedores MFA de terceros con Métodos de autenticación externos
- Las aplicaciones integradas con un IdP federado pueden integrarse directamente con Microsoft Entra ID.
Uso de IdP federados WS-Fed o SAML 1.1
Cuando un administrador configura opcionalmente su inquilino Microsoft Entra ID para utilizar un IdP federado utilizando la federación WS-Fed, Microsoft Entra redirige al IdP para la autenticación y espera una respuesta en forma de Respuesta de token de seguridad de solicitud (RSTR) que contenga una aserción SAML 1.1. Si está configurado para hacerlo, Microsoft Entra respeta la MFA realizada por el IdP si una de las dos afirmaciones siguientes está presente:
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
Se pueden incluir en la aserción como parte del elemento AuthenticationStatement. Por ejemplo:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
O bien, se pueden incluir en la aserción como parte de los elementos AttributeStatement. Por ejemplo:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Uso de directivas de acceso condicional de frecuencia de inicio de sesión y de control de sesión con WS-Fed o SAML 1.1
Frecuencia de inicio de sesión usa UserAuthenticationInstant (aserción de SAML http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), que es AuthInstant de la autenticación en primer factor mediante contraseña para SAML1.1/WS-Fed.
Uso de IdP federados SAML 2.0
Cuando un administrador configura opcionalmente su inquilino Microsoft Entra ID para utilizar un IdP federado utilizando la federación SAMLP/SAML 2.0, Microsoft Entra redirigirá al IdP para la autenticación, y esperará una respuesta que contenga una aserción SAML 2.0. Las aserciones de MFA entrantes deben estar presentes en el elemento AuthnContext del AuthnStatement.
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
Como resultado, para que las aserciones MFA entrantes sean procesadas por Microsoft Entra, deben estar presentes en el elemento AuthnContext del AuthnStatement. Solo se puede presentar un método de esta manera.
Uso de directivas de acceso condicional para la frecuencia de inicio de sesión y el control de sesión con SAML 2.0
Frecuencia de inicio de sesión utiliza AuthInstant, ya sea de autenticación MFA o de Primer Factor, proporcionada en el AuthnStatement. Las afirmaciones compartidas en la sección AttributeReference de la carga se omiten, incluyendo las de http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.