Conformarsi ai controlli di autenticazione multifattoriale (MFA) di Microsoft Entra ID con attestazioni MFA da un IdP federato
Questo documento descrive le asserzioni richieste dall'ID Microsoft Entra da un provider di identità federato (IdP) federatedIdpMfaBehaviour valori acceptIfMfaDoneByFederatedIdp e enforceMfaByFederatedIdp for Security Assertions Markup Language (SAML) e WS-Fed federazione.
Suggerimento
La configurazione dell'ID Microsoft Entra con un IdP federato è facoltativa. Microsoft Entra consiglia metodi di autenticazione disponibili in Microsoft Entra ID.
- Microsoft Entra ID include il supporto per i metodi di autenticazione disponibili in precedenza solo tramite un IDP federato, ad esempio certificati/smart card con autenticazione basata su certificato Entra
- Microsoft Entra ID include il supporto per l'integrazione di provider MFA di terze parti con metodi di autenticazione esterna
- Le applicazioni integrate con un IdP federato possono essere integrate direttamente con Microsoft Entra ID
Uso di WS-Fed o IdP federato SAML 1.1
Quando un amministratore configura facoltativamente il tenant di Microsoft Entra ID per l'uso di un IdP federato usando la WS-Fed federazione, Microsoft Entra reindirizza all'IdP per l'autenticazione e si aspetta una risposta sotto forma di un Request Security Token Response (RSTR) contenente un'asserzione SAML 1.1. Se è configurata per farlo, Microsoft Entra riconosce l'autenticazione a più fattori eseguita dal fornitore di identità se è presente una delle seguenti due dichiarazioni:
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
Possono essere inclusi nell'asserzione come parte dell'elemento AuthenticationStatement. Per esempio:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
Oppure possono essere inclusi nell'asserzione come parte degli elementi AttributeStatement. Per esempio:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Uso della frequenza di accesso e controllo delle sessioni con le politiche di accesso condizionale con WS-Fed o SAML 1.1
frequenza di autenticazione usa UserAuthenticationInstant (asserzione SAML http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), che è l'AuthInstant dell'autenticazione a fattore singolo usando la password per SAML1.1/WS-Fed.
Utilizzo di IdP federato con SAML 2.0
Quando un amministratore configura facoltativamente il tenant di Microsoft Entra ID per l'uso di un idP federato usando federazione SAMLP/SAML 2. 0, Microsoft Entra reindirizza al provider di identità per l'autenticazione e prevede una risposta contenente un'asserzione SAML 2.0. Le asserzioni MFA in ingresso devono essere presenti nell'elemento AuthnContext del AuthnStatement.
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
Di conseguenza, affinché le asserzioni MFA in ingresso vengano elaborate da Microsoft Entra, devono essere presenti nell'elemento AuthnContext dell'AuthnStatement. In questo modo è possibile presentare un solo metodo.
Uso della frequenza di accesso e del controllo della sessione dei criteri di accesso condizionale con SAML 2.0
Frequenza di Accesso utilizza AuthInstant per l'autenticazione tramite MFA o First Factor fornita nel AuthnStatement. Tutte le asserzioni condivise nella sezione AttributeReference del payload vengono ignorate, incluso http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.