Metody uwierzytelniania w usłudze Microsoft Entra ID — tokeny OATH
Hasło jednorazowe (TOTP) oparte na protokole OATH to otwarty standard określający sposób generowania kodów haseł jednorazowych (OTP). Protokół OATH TOTP można zaimplementować przy użyciu oprogramowania lub sprzętu w celu wygenerowania kodów. Microsoft Entra ID nie obsługuje protokołu OATH HOTP, innego standardu generowania kodu.
Tokeny oprogramowania OATH
Programowe tokeny OATH to zazwyczaj aplikacje, takie jak aplikacja Microsoft Authenticator i inne aplikacje uwierzytelniające. Microsoft Entra ID generuje tajny klucz lub losowy ciąg (seed), który jest wprowadzany do aplikacji i używany do generowania każdego jednorazowego hasła (OTP).
Aplikacja Authenticator automatycznie generuje kody, gdy jest skonfigurowana do obsługi powiadomień push, dzięki czemu użytkownik ma zapasowy dostęp, nawet jeśli urządzenie nie ma łączności. Mogą być również używane aplikacje innych firm korzystające z protokołu OATH TOTP do generowania kodów.
Niektóre tokeny sprzętowe OATH TOTP są programowalne, co oznacza, że nie mają klucza tajnego ani wstępnie zaprogramowanego inicjatora. Te programowalne tokeny sprzętowe można skonfigurować przy użyciu klucza tajnego lub ziarna uzyskanego z procesu konfiguracji tokenu programowego. Klienci mogą zakupić te tokeny od wybranego dostawcy i użyć klucza tajnego lub frazy inicjującej w procesie konfiguracji przez dostawcę.
Sprzętowe tokeny OATH (wersja zapoznawcza)
Identyfikator Entra firmy Microsoft obsługuje używanie tokenów SHA-1 i SHA-256 OATH-TOTP, które odświeżają kody co 30 lub 60 sekund. Klienci mogą zakupić te tokeny od wybranego dostawcy.
Entra ID firmy Microsoft ma nowe API Microsoft Graph w wersji zapoznawczej dla Azure. Administratorzy mogą uzyskiwać dostęp do interfejsów API programu Microsoft Graph z najmniej uprzywilejowanymi rolami w celu zarządzania tokenami w wersji zapoznawczej. W tej aktualizacji wersji zapoznawczej w centrum administracyjnym Microsoft Entra nie ma żadnych opcji zarządzania sprzętowym tokenem OATH.
Możesz nadal zarządzać tokenami z oryginalnej wersji zapoznawczej w tokenach OATH w centrum administracyjnym firmy Microsoft Entra. Z drugiej strony, tokenami można zarządzać jedynie podczas odświeżania wersji zapoznawczej przy użyciu interfejsów API Microsoft Graph.
Sprzętowe tokeny OATH dodawane za pomocą programu Microsoft Graph na potrzeby tego odświeżania w wersji zapoznawczej są wyświetlane wraz z innymi tokenami w centrum administracyjnym. Można je jednak zarządzać tylko za pomocą programu Microsoft Graph.
Korekta dryfu czasu
Identyfikator Entra firmy Microsoft koryguje przesunięcie czasowe tokenów podczas aktywacji i każdego logowania. W poniższej tabeli wymieniono korektę czasu, którą firma Microsoft Entra ID wykonuje dla tokenów podczas aktywacji i logowania.
| Okres odświeżania tokenu | Zakres czasu aktywacji | Zakres czasu uwierzytelniania |
|---|---|---|
| 30 sekund | +/- 1 dzień | +/- 1 minuta |
| 60 sekund | +/- 2 dni | +/- 2 minuty |
Ulepszenia odświeżania w wersji zapoznawczej
To sprzętowe odświeżanie tokenu OATH w wersji zapoznawczej zwiększa elastyczność i bezpieczeństwo organizacji przez usunięcie wymagań administratora globalnego. Organizacje mogą delegować tworzenie, przypisywanie i aktywację tokenów administratorom uwierzytelniania uprzywilejowanego lub administratorom zasad uwierzytelniania.
W poniższej tabeli wymieniono wymagania roli dotyczące zarządzania sprzętowymi tokenami OATH podczas odświeżania wersji zapoznawczej.
| Zadanie | Funkcja odświeżania podglądu |
|---|---|
| Utwórz nowy token w inwentarzu najemcy. | Administrator zasad uwierzytelniania |
| Odczytanie tokenu z inwentarza najemcy; nie zwraca sekretu. | Administrator zasad uwierzytelniania |
| Zaktualizuj token u dzierżawcy. Na przykład zaktualizuj producenta lub moduł; Tajnych informacji nie można zaktualizować. | Administrator zasad uwierzytelniania |
| Usuń token z inwentarza najemcy. | Administrator zasad uwierzytelniania |
W ramach odświeżania w wersji zapoznawczej użytkownicy końcowi mogą również samodzielnie przypisywać i aktywować tokeny ze swoich informacji o zabezpieczeniach. W ramach odświeżania w wersji zapoznawczej token można przypisać tylko do jednego użytkownika. W poniższej tabeli wymieniono wymagania dotyczące tokenów i ról w celu przypisywania i aktywowania tokenów.
| Zadanie | Stan tokenu | Wymóg roli |
|---|---|---|
| Przypisz token z magazynu do użytkownika w najemcy. | Przypisane | Członek (sam) Administrator uwierzytelniania Administrator uwierzytelniania uprzywilejowanego |
| Odczyt tokenu użytkownika nie zwraca sekretu. | Aktywowane/przypisane (zależy od tego, czy token został już aktywowany, czy nie) | Członek (self) Administrator uwierzytelniania (ma tylko ograniczony odczyt, a nie standardowy odczyt) Administrator uwierzytelniania uprzywilejowanego |
| Zaktualizuj token użytkownika, na przykład podaj bieżący 6-cyfrowy kod aktywacji lub zmień nazwę tokenu. | Aktywowany | Członek (self) Administrator uwierzytelniania Administrator uwierzytelniania uprzywilejowanego |
| Usuń token od użytkownika. Token wraca do zapasu tokenów. | Dostępne (z powrotem do spisu dzierżawy) | Członek (sam) Administrator uwierzytelniania Administrator uwierzytelniania uprzywilejowanego |
W starszych zasadach uwierzytelniania wieloskładnikowego (MFA) można włączyć tylko razem tokeny sprzętowe i programowe OATH. Jeśli włączysz tokeny OATH w starszych zasadach uwierzytelniania wieloskładnikowego, użytkownicy końcowi zobaczą opcję dodawania sprzętowych tokenów OATH na stronie Informacje o zabezpieczeniach.
Jeśli nie chcesz, aby użytkownicy końcowi widzieli opcję dodawania sprzętowych tokenów OATH, przeprowadź migrację do zasad metod uwierzytelniania. W zasadach Metod uwierzytelniania można włączyć i zarządzać oddzielnie tokeny sprzętowe i programowe OATH. Aby uzyskać więcej informacji na temat migracji do zasady metod uwierzytelniania, zobacz Jak migrować ustawienia polityki uwierzytelniania wieloskładnikowego (MFA) i samoobsługowego resetowania hasła (SSPR) do zasady metod uwierzytelniania dla Microsoft Entra ID.
Najemcy posiadający licencję Microsoft Entra ID P1 lub P2 mogą nadal przekazywać sprzętowe tokeny OATH, tak jak w wersji przedpremierowej. Aby uzyskać więcej informacji, zobacz Przekazywanie sprzętowych tokenów OATH w formacie CSV.
Aby uzyskać więcej informacji na temat włączania sprzętowych tokenów OATH i interfejsów API programu Microsoft Graph, których można użyć do przekazywania, aktywowania i przypisywania tokenów, zobacz Jak zarządzać tokenami OATH.
Ikony tokenów OATH
Użytkownicy mogą dodawać tokeny OATH i zarządzać nimi w obszarze Informacje zabezpieczające lub wybrać pozycję Informacje zabezpieczające na moim koncie. Tokeny OATH oprogramowania i sprzętu mają różne ikony.
| Typ rejestracji tokenu | Ikona |
|---|---|
| Token oprogramowania OATH |
|
| Token sprzętowy OATH |
|
Powiązana zawartość
Dowiedz się więcej na temat zarządzania tokenami OATH. Dowiedz się więcej o dostawcach kluczy zabezpieczeń FIDO2, którzy są zgodni z uwierzytelnianiem bez hasła.