Ontdekking van de thuisomgeving voor een applicatie
Met Home Realm Discovery (HRD) kan Microsoft Entra ID de juiste id-provider (IDP) identificeren voor gebruikersverificatie tijdens het aanmelden. Wanneer gebruikers zich aanmelden bij een Microsoft Entra-tenant voor toegang tot een resource of de algemene aanmeldingspagina, voeren ze een gebruikersnaam (UPN) in. Microsoft Entra ID gebruikt deze informatie om de juiste aanmeldingslocatie te bepalen.
Gebruikers worden omgeleid naar een van de volgende id-providers voor verificatie:
- De basistenant van de gebruiker (die mogelijk hetzelfde is als de resourcetenant).
- Microsoft account, als de gebruiker een gast in de resourcetenant is met een consumentenaccount.
- Een on-premises id-provider zoals Active Directory Federation Services (ADFS).
- Een andere id-provider die is gefedereerd met de Microsoft Entra-tenant.
Automatische acceleratie
Organisaties kunnen domeinen in hun Microsoft Entra-tenant configureren om te federeren met een andere IdP, zoals ADFS, voor gebruikersverificatie. Wanneer gebruikers zich aanmelden bij een toepassing, zien ze in eerste instantie een aanmeldingspagina van Microsoft Entra. Als ze deel uitmaken van een federatief domein, worden ze omgeleid naar de aanmeldingspagina van de IdP voor dat domein. Beheerders willen mogelijk de eerste Microsoft Entra ID-pagina voor specifieke toepassingen overslaan, een proces dat inlogautomatisering wordt genoemd.
Microsoft adviseert tegen het configureren van automatische versnelling, omdat dit sterkere verificatiemethoden zoals FIDO kan belemmeren. Zie Aanmeldingssleutel zonder wachtwoord inschakelenvoor meer informatie. Zie Automatische versnelling bij aanmelden uitschakelen om te leren hoe automatische versnelling van aanmelden kan worden voorkomen.
Automatisch versnellen kan het inloggen stroomlijnen voor huurders die zijn gefedereerd met een andere IdP. U kunt deze configureren voor afzonderlijke toepassingen. Zie Automatische versnelling configurerenvoor meer informatie over het afdwingen van automatische versnelling met HRD.
Notitie
Als u een toepassing voor automatische versnelling configureert, voorkomt u dat gebruikers beheerde referenties (zoals FIDO) gebruiken en gastgebruikers zich niet kunnen aanmelden. Als u gebruikers omleiden naar een federatieve IdP voor verificatie, wordt de aanmeldingspagina van Microsoft Entra omzeild, waardoor gastgebruikers geen toegang hebben tot andere tenants of externe ID's, zoals Microsoft-accounts.
Beheer automatische versnelling naar een federatieve IdP op drie manieren:
- Gebruik een domeinhint voor verificatieaanvragen voor een toepassing.
- Configureer een HRD-beleid om automatische versnelling af te dwingen.
- Configureer een HRD-beleid om domeinhints te negeren voor specifieke toepassingen of domeinen.
Dialoogvenster Domeinbevestiging
Vanaf april 2023 kunnen organisaties die automatische versnelling of slimme koppelingen gebruiken, een nieuw scherm tegenkomen in de aanmeldingsgebruikersinterface, het dialoogvenster Domeinbevestiging. Dit scherm maakt deel uit van de beveiligingsbeveiligingsinspanningen van Microsoft en vereist dat gebruikers het domein van de tenant bevestigen waarmee ze zich aanmelden.
Wat u moet doen
Wanneer u het dialoogvenster Domeinbevestiging ziet:
-
Controleer het domein: Controleer of de domeinnaam op het scherm overeenkomt met de organisatie die u wilt aanmelden, zoals
contoso.com.- Als u het domeinherkent, selecteert u Bevestig om door te gaan.
- Als u het domeinniet herkent, annuleert u het aanmeldingsproces en neemt u contact op met uw IT-beheerder voor hulp.
Onderdelen van het dialoogvenster Domeinbevestiging
In de volgende schermopname ziet u een voorbeeld van hoe het dialoogvenster voor domeinbevestiging eruit kan zien:
De id boven aan het dialoogvenster, kelly@contoso.comvertegenwoordigt de id die wordt gebruikt om u aan te melden. Het tenantdomein dat wordt vermeld in de koptekst en subkop van het dialoogvenster, toont het domein van de hoofdtenant van het account.
Dit dialoogvenster wordt mogelijk niet weergegeven voor elk exemplaar van automatische versnelling of slimme koppelingen. Frequente dialoogvensters voor domeinbevestiging kunnen voorkomen als uw organisatie cookies wist vanwege het browserbeleid. Het dialoogvenster Domeinbevestiging mag niet leiden tot onderbrekingen in de applicatie, aangezien Microsoft Entra ID de aanmeldingsstroom automatisch versnelt.
Domeinaanwijzingen
Domeinhints zijn richtlijnen in verificatieaanvragen van toepassingen die gebruikers kunnen versnellen naar hun federatieve IdP-aanmeldingspagina. Toepassingen met meerdere tenants kunnen ze gebruiken om gebruikers om te leiden naar de aanmeldingspagina van Microsoft Entra voor hun tenant.
'largeapp.com' kan bijvoorbeeld toegang toestaan via een aangepaste URL 'contoso.largeapp.com' en een domeinhint toevoegen aan contoso.com in de verificatieaanvraag.
De syntaxis van domeinhint verschilt per protocol:
-
WS-Federation-:
whrquerytekenreeksparameter, bijvoorbeeldwhr=contoso.com. -
SAML-: SAML-verificatieaanvraag met een domeinhint of
whr=contoso.com. -
OpenID Connect-:
domain_hintquerystring-parameter, bijvoorbeelddomain_hint=contoso.com.
Microsoft Entra ID stuurt de aanmelding door naar de geconfigureerde IDP voor een domein als beide van de volgende gevallen van toepassing zijn:
- Er wordt een domeinhint opgenomen in de verificatieaanvraag.
- De tenant is gefedereerd met dat domein.
Als de domeinhint niet verwijst naar een geverifieerd federatief domein, kan deze worden genegeerd.
Notitie
Een domeinhint in een verificatieaanvraag overschrijft de automatische versnelling ingesteld voor de toepassing in het HRD-beleid.
HRD-beleid voor automatische versnelling
Sommige toepassingen staan geen configuratie van verificatieaanvragen toe. In dergelijke gevallen is het niet mogelijk om domeinhints te gebruiken om automatische versnelling te beheren. Gebruik Home Realm Discovery-beleid om automatische versnelling te configureren.
HRD-beleid om automatische versnelling te voorkomen
Sommige Microsoft- en SaaS-toepassingen bevatten automatisch domeinhints, wat kan leiden tot verstoringen bij de uitrol van beheerde referenties zoals FIDO. Gebruik het Home Realm Discovery-beleid om domeinhints van bepaalde apps of domeinen te negeren tijdens de uitrol van beheerde referenties.
Directe ROPC-verificatie van federatieve gebruikers inschakelen voor verouderde toepassingen
De beste werkwijze is dat toepassingen gebruikmaken van Microsoft Entra-bibliotheken en interactieve inloggen voor gebruikersverificatie. Verouderde toepassingen die gebruikmaken van ROPC-subsidies (Resource Owner Password Credentials) kunnen referenties rechtstreeks naar Microsoft Entra-id verzenden zonder federatie te begrijpen. Ze voeren geen HRD uit of werken niet met het juiste federatieve eindpunt. U kunt Home Realm Discovery-beleid gebruiken om specifieke verouderde toepassingen in te schakelen rechtstreeks te verifiëren met Microsoft Entra-id. Deze optie werkt, mits Wachtwoord-hashsynchronisatie is ingeschakeld.
Belangrijk
Schakel directe verificatie alleen in als wachtwoord-hashsynchronisatie actief is en het acceptabel is om de toepassing te verifiëren zonder on-premises IdP-beleid. Als wachtwoord-hashsynchronisatie of adreslijstsynchronisatie met AD Connect is uitgeschakeld, verwijdert u dit beleid om directe verificatie met verlopen wachtwoordhashes te voorkomen.
HRD-beleid instellen
Een HRD-beleid instellen voor een toepassing om de aanmelding via een federatief systeem automatisch te versnellen of voor directe cloudgebaseerde toepassingen.
- Een HRD-beleid maken.
- Zoek de service-principal om het beleid te koppelen.
- Koppel het beleid aan de service-principal.
Beleid wordt van kracht voor een specifieke toepassing wanneer deze is gekoppeld aan een service-principal. Slechts één HRD-beleid kan tegelijk actief zijn op een service-principal. Gebruik Microsoft Graph PowerShell cmdlets om HRD-beleid te maken en te beheren.
Voorbeeld van HRD-beleidsdefinitie:
{
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true,
"PreferredDomain": "federated.example.edu",
"AllowCloudPasswordValidation": false
}
}
- AccelerateToFederatedDomain: Optioneel. Als dit onwaar is, heeft het beleid geen invloed op automatische versnelling. Als waar en er één geverifieerd federatief domein is, worden gebruikers omgeleid naar de federatieve IdP. Als er meerdere domeinen bestaan, geeft u PreferredDomainop.
- PreferredDomain: Optioneel. Hiermee wordt een domein voor versnelling aangegeven. Weglaten als er slechts één federatief domein bestaat. Als u meerdere domeinen weglaat, heeft het beleid geen effect.
- AllowCloudPasswordValidation: Optioneel. Als dit waar is, staat het toe dat federatieve gebruikers zich rechtstreeks kunnen authenticeren bij het Microsoft Entra-token eindpunt met gebruikersnaam/wachtwoordreferenties, waartoe wachtwoord-hashsynchronisatie vereist is.
Aanvullende HRD-opties op tenantniveau:
- AlternateIdLogin: Optioneel. Schakelt AlternateLoginID- in voor aanmelding via e-mail in plaats van UPN op de aanmeldingspagina van Microsoft Entra. Is afhankelijk van gebruikers die niet automatisch worden versneld naar een federatieve IDP.
- DomainHintPolicy-: Optioneel complex object dat voorkomt dat domeinhints gebruikers automatisch kunnen versnellen naar federatieve domeinen. Zorgt ervoor dat toepassingen die domeinhints verzenden, aanmeldingen met cloud-beheerde referenties niet verhinderen.
Prioriteit en evaluatie van HRD-beleid
HRD-beleid kan worden toegewezen aan organisaties en service-principals, zodat meerdere beleidsregels kunnen worden toegepast op een toepassing. Microsoft Entra ID bepaalt prioriteit met behulp van deze regels:
- Als er een domeinhint aanwezig is, controleert het HRD-beleid van de tenant of domeinhints moeten worden genegeerd. Als dit is toegestaan, wordt de domeinhint functie toegepast.
- Als een beleid expliciet is toegewezen aan de service-principal, wordt dit afgedwongen.
- Als er geen domeinhint of service-principal-beleid bestaat, wordt een beleid afgedwongen dat is toegewezen aan de bovenliggende organisatie.
- Als er geen domeinhint of beleid is toegewezen, is het standaardgedrag van HRD van toepassing.