Vervul de MFA-controles van Microsoft Entra ID met MFA-claims van een federatieve IdP
Dit document bevat een overzicht van de asserties die Microsoft Entra ID vereist van een federatieve id-provider (IdP) om de geconfigureerde federatedIdpMfaBehaviour waarden van acceptIfMfaDoneByFederatedIdp en enforceMfaByFederatedIdp te eerbiedigen voor Security Assertions Markup Language (SAML) en WS-Fed federatie.
Suggestie
Het configureren van Microsoft Entra-id met een federatieve IdP is optionele. Microsoft Entra raadt verificatiemethoden aan die beschikbaar zijn in Microsoft Entra ID.
- Microsoft Entra ID bevat ondersteuning voor verificatiemethoden die eerder alleen beschikbaar waren via een federatieve IdP, zoals certificaten/smartcards met Verificatie op basis van entra-certificaten
- Microsoft Entra ID bevat ondersteuning voor het integreren van MFA-providers van derden met externe verificatiemethoden
- Toepassingen die zijn geïntegreerd met een federatieve IdP kunnen rechtstreeks worden geïntegreerd met Microsoft Entra ID
Gebruik van WS-Fed of een SAML 1.1 gefedereerde IdP
Wanneer een beheerder ervoor kiest de Microsoft Entra ID-tenant te configureren voor het gebruik van een federatief IdP- met WS-Fed federatie, stuurt Microsoft Entra door naar de IdP voor authenticatie en verwacht een antwoord in de vorm van een Request Security Token Response (RSTR) met een SAML 1.1-assertie. Als dit zo is geconfigureerd, honoreert Microsoft Entra MFA uitgevoerd door de IdP als een van de volgende twee claims aanwezig is:
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
Ze kunnen worden opgenomen in de verklaring als onderdeel van het element AuthenticationStatement. Bijvoorbeeld:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
Of ze kunnen worden opgenomen in de verklaring als onderdeel van de AttributeStatement elementen. Bijvoorbeeld:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Aanmeldingsfrequentie en sessiebeheerbeleid voor voorwaardelijke toegang gebruiken met WS-Fed of SAML 1.1
Aanmeldingsfrequentie maakt gebruik van UserAuthenticationInstant (SAML-bevestiging http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), wat de AuthInstant van eerste-factorauthenticatie met een wachtwoord is voor SAML1.1/WS-Fed.
SamL 2.0 federatieve IdP gebruiken
Wanneer een beheerder optioneel de Microsoft Entra ID-tenant configureert voor het gebruik van een federatieve IdP- met behulp van SAMLP/SAML 2.0 federatie, wordt Microsoft Entra omgeleid naar de IdP voor verificatie en verwacht een antwoord dat een SAML 2.0-assertie bevat. De binnenkomende MFA-asserties moeten aanwezig zijn in het AuthnContext element van de AuthnStatement.
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
Als gevolg hiervan moeten inkomende MFA-asserties die door Microsoft Entra worden verwerkt, aanwezig zijn in het AuthnContext element van de AuthnStatement. Op deze manier kan slechts één methode worden gepresenteerd.
Aanmeldingsfrequentie en sessiebeheerbeleid voor voorwaardelijke toegang gebruiken met SAML 2.0
Aanmeldingsfrequentie maakt gebruik van AuthInstant van MFA of First Factor authenticatie zoals opgegeven in de AuthnStatement. Eventuele beweringen die zijn opgenomen in sectie AttributeReference van het gegevenspakket worden genegeerd, inclusief die van http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.