Udostępnij za pośrednictwem


Co nowego w przypadku uwierzytelniania?

Firma Microsoft okresowo dodaje i modyfikuje funkcje Platforma tożsamości Microsoft w celu poprawy bezpieczeństwa, użyteczności i zgodności ze standardami.

O ile nie określono inaczej, opisane tutaj zmiany dotyczą tylko aplikacji zarejestrowanych po dacie wejścia w życie.

Zapoznaj się z tym artykułem regularnie, aby dowiedzieć się więcej o:

  • Znane problemy i poprawki
  • Zmiany protokołu
  • Przestarzałe funkcje

Napiwek

Aby otrzymywać powiadomienia o aktualizacjach tej strony, dodaj ten adres URL do czytnika kanałów informacyjnych RSS:
https://learn.microsoft.com/api/search/rss?search=%22Azure+Active+Directory+breaking+changes+reference%22&locale=en-us

Sierpień 2024 r.

Poświadczenia tożsamości federacyjnej używają teraz dopasowania uwzględniającego wielkość liter

Data wejścia w życie: wrzesień 2024 r.

Protokół, na który ma wpływ: Federacja tożsamości obciążenia

Zmień

Wcześniej podczas dopasowywania poświadczeń tożsamości federacyjnej (FIC) issuersubjecti audience względem odpowiednich issuerwartości , subjecti audience zawartych w tokenie wysłanym do identyfikatora Entra firmy Microsoft przez zewnętrznego dostawcę tożsamości użyto dopasowania bez uwzględniania wielkości liter. Aby zapewnić bardziej szczegółową kontrolę klientom, przechodzimy do wymuszania dopasowania uwzględniającego wielkość liter.

Nieprawidłowy przykład:

  • Temat tokenu: repo:contoso/contoso-org:ref:refs/heads/main
  • Temat FIC: repo:Contoso/Contoso-Org:ref:refs/heads/main

Te dwie wartości podmiotu nie są zgodne z uwzględnieniem wielkości liter, więc walidacja kończy się niepowodzeniem. Ten sam mechanizm jest stosowany do issuer i audience walidacji.

Ta zmiana zostanie początkowo zastosowana do aplikacji lub tożsamości zarządzanych utworzonych po August 14th, 2024. Nieaktywne aplikacje lub tożsamości zarządzane, określone przez brak żądań federacji tożsamości obciążenia wysyłanych przez podaną aplikację lub tożsamość zarządzaną między okresem August 1st, 2024 do August 31st, 2024, są wymagane do użycia dopasowywania wielkości liter rozpoczynających się .September 27th, 2024 W przypadku aktywnych aplikacji dopasowywanie bez uwzględniania wielkości liter jest przekazywane później.

Aby lepiej wyróżnić błędy z powodu niewrażliwości na wielkość liter, odświeżymy komunikat o błędzie dla elementu AADSTS700213. Będzie on teraz stanem;

`AADSTS700213: No matching federated identity record found for presented assertion subject '{subject}'. Please note that matching is done using a case-sensitive comparison. Check your federated identity credential Subject, Audience, and Issuer against the presented assertion.` 

Symbol zastępczy '{subject}' zawiera wartość oświadczenia podmiotu zawartego w tokenie wysyłanym z zewnętrznego dostawcy tożsamości do identyfikatora Entra firmy Microsoft. Ten szablon błędu jest również używany w przypadku niepowodzeń bez uwzględniania wielkości liter wokół issuer i audience walidacji. Jeśli wystąpi ten błąd, należy znaleźć poświadczenie tożsamości federacyjnej odpowiadające issuerwartości , subjectlub audience wymienione w błędzie i potwierdzić, że odpowiednie wartości są równoważne z perspektywy z uwzględnieniem wielkości liter. Jeśli wystąpiła niezgodność, musisz zastąpić bieżącą issuerwartość , subjectlub audience w pliku FIC wartością issuer, subjectlub audience , która została zawarta w komunikacie o błędzie.

Uwaga

W przypadku klientów usługi aplikacja systemu Azure Service korzystających z funkcji GitHub Actions i w przypadku wystąpienia tego błędu można przejść do pliku przepływu pracy w repozytorium /.github/workflows GitHub i zaktualizować właściwość środowiska name z "Production" do ."production" Te wskazówki dotyczą tylko scenariuszy usługi aplikacja systemu Azure. Jeśli ten błąd występuje w innym scenariuszu, zapoznaj się z powyższymi wskazówkami.

Czerwiec 2024 r.

Aplikacje muszą być zarejestrowane w katalogu

Data wejścia w życie: czerwiec 2024 r.

Wpływ na punkty końcowe: w wersji 2.0 i 1.0

Protokół, na który ma wpływ: wszystkie przepływy

Zmień

Wcześniej podczas rejestrowania aplikacji przy użyciu środowiska rejestracji aplikacji Firmy Microsoft Entra, jeśli użytkownik został zalogowany przy użyciu osobistego konta Microsoft (MSA), może wybrać skojarzenie aplikacji tylko z kontem osobistym. Oznacza to, że aplikacja nie byłaby skojarzona z żadnym katalogiem ani zawarta w żadnym katalogu (nazywanym również "dzierżawą" lub "organizacją"). Jednak od czerwca 2024 r. wszystkie aplikacje muszą być zarejestrowane w katalogu. Może to być istniejący katalog lub nowy utworzony przez użytkownika osobistego konta Microsoft w celu uwzględnienia aplikacji Firmy Microsoft i innych zasobów firmy Microsoft. Użytkownicy mogą łatwo utworzyć nowy katalog do użycia w tym celu, dołączając do programu deweloperów platformy Microsoft 365 lub tworząc konto na platformie Azure.

Rejestrowanie aplikacji w katalogu, a nie tylko skojarzenie jej z kontem osobistym, ma różne korzyści. Są to:

  • Aplikacje zarejestrowane w katalogu mają dostęp do większej liczby funkcji, takich jak możliwość dodawania więcej niż jednego właściciela do aplikacji oraz możliwość weryfikacji aplikacji przez wydawcę.
  • Aplikacja znajduje się w tym samym miejscu co inne zasoby firmy Microsoft używane przez dewelopera, takie jak zasoby platformy Azure.
  • Aplikacja otrzymuje ulepszone korzyści z odporności.

Nie wpłynie to na żadne istniejące aplikacje, w tym istniejące aplikacje, które są skojarzone tylko z kontem osobistym. Dotyczy to tylko możliwości rejestrowania nowych aplikacji.

Październik 2023

Zaktualizowany monit środowiska użytkownika programu RemoteConnect

Data wejścia w życie: październik 2023 r.

Wpływ na punkty końcowe: w wersji 2.0 i 1.0

Protokół, na który ma wpływ: RemoteConnect

RemoteConnect to przepływ między urządzeniami używany w scenariuszach związanych z brokerem uwierzytelniania firmy Microsoft i usługą Microsoft Intune obejmującym podstawowe tokeny odświeżania. Aby zapobiec atakom polegającym na wyłudzaniu informacji, przepływ RemoteConnect otrzymuje zaktualizowany język środowiska użytkownika w celu wywołania, że urządzenie zdalne (urządzenie, które zainicjowało przepływ) będzie mogło uzyskiwać dostęp do wszystkich aplikacji używanych przez organizację po pomyślnym zakończeniu przepływu.

Wyświetlony monit będzie wyglądać mniej więcej tak:

Zrzut ekranu przedstawiający zaktualizowany monit połączenia zdalnego z napisem

Czerwiec 2023

Pominięcie oświadczeń poczty e-mail z niezweryfikowanym właścicielem domeny

Data wejścia w życie: czerwiec 2023 r.

Wpływ na punkty końcowe: w wersji 2.0 i 1.0

Zmień

W przypadku aplikacji wielodostępnych wiadomości e-mail, które nie zostały zweryfikowane przez właściciela domeny, są domyślnie pomijane, gdy opcjonalne email oświadczenie jest żądane w ładunku tokenu.

Wiadomość e-mail jest uważana za zweryfikowaną przez właściciela domeny, jeśli:

  1. Domena należy do dzierżawy, w której znajduje się konto użytkownika, a administrator dzierżawy dokonał weryfikacji domeny.
  2. Wiadomość e-mail pochodzi z konta Microsoft (MSA).
  3. Adres e-mail pochodzi z konta Google.
  4. Wiadomość e-mail została użyta do uwierzytelniania przy użyciu przepływu jednorazowego kodu dostępu (OTP).

Należy również zauważyć, że konta Facebook i SAML/WS-Fed nie mają zweryfikowanych domen.

Maj 2023

Nazwa roli administratora usługi Power BI zostanie zmieniona na Administrator sieci szkieletowej.

Data wejścia w życie: czerwiec 2023 r.

Punkty końcowe, których to dotyczy:

  • Wyświetlanie listy rólDefinitions — Microsoft Graph w wersji 1.0
  • List directoryRoles — Microsoft Graph v1.0

Zmień

Nazwa roli Administrator usługi Power BI została zmieniona na Administrator sieci szkieletowej.

23 maja 2023 r. firma Microsoft zaprezentowała usługę Microsoft Fabric, która udostępnia środowisko integracji danych oparte na usłudze Data Factory, inżynierię danych obsługiwaną przez usługę Synapse, magazyn danych, naukę o danych i analizy danych w czasie rzeczywistym oraz analizy biznesowej (BI) z usługą Power BI — wszystkie hostowane w rozwiązaniu SaaS skoncentrowanym na środowisku typu lake. Administracja dzierżawą i pojemnością dla tych środowisk jest scentralizowana w portalu administracyjnym sieci szkieletowej (wcześniej znanym jako portal administracyjny usługi Power BI).

Od czerwca 2023 r. nazwa roli administrator usługi Power BI została zmieniona na Administrator sieci szkieletowej, aby dopasować się do zmieniającego się zakresu i odpowiedzialności tej roli. Wszystkie aplikacje, w tym Microsoft Entra ID, Microsoft Graph API, Microsoft 365 i GDAP, zaczną odzwierciedlać nową nazwę roli w ciągu kilku tygodni.

Przypominamy, że kod aplikacji i skrypty nie powinny podejmować decyzji na podstawie nazwy roli ani nazwy wyświetlanej.

Grudzień 2021

Użytkownicy usług AD FS będą widzieć więcej monitów logowania, aby upewnić się, że prawidłowy użytkownik jest zalogowany.

Data wejścia w życie: grudzień 2021 r.

Punkty końcowe, których dotyczy problem: zintegrowane uwierzytelnianie systemu Windows

Protokół, na który ma wpływ: zintegrowane uwierzytelnianie systemu Windows

Zmień

Obecnie, gdy użytkownik jest wysyłany do usług AD FS w celu uwierzytelnienia, będzie dyskretnie zalogowany do dowolnego konta, które ma już sesję z usługami AD FS. Logowanie dyskretne występuje nawet wtedy, gdy użytkownik zamierzał zalogować się do innego konta użytkownika. Aby zmniejszyć częstotliwość występowania tego nieprawidłowego logowania, począwszy od grudnia identyfikator Entra firmy Microsoft wyśle prompt=login parametr do usług AD FS, jeśli Menedżer kont sieci Web w systemie Windows udostępnia identyfikator login_hint Microsoft Entra podczas logowania, co wskazuje, że określony użytkownik jest wymagany do logowania.

Po spełnieniu powyższych wymagań (WAM jest używany do wysyłania użytkownika do firmy Microsoft Entra ID w celu zalogowania się, element login_hint jest dołączany, a wystąpienie usług AD FS dla domeny użytkownika obsługuje prompt=login) użytkownik nie będzie zalogowany w trybie dyskretnym, a zamiast tego poprosił o podanie nazwy użytkownika w celu kontynuowania logowania się do usług AD FS. Jeśli chcą zalogować się do istniejącej sesji usług AD FS, mogą wybrać opcję "Kontynuuj jako bieżący użytkownik" wyświetlaną poniżej monitu logowania. W przeciwnym razie mogą kontynuować logowanie się przy użyciu nazwy użytkownika.

Ta zmiana zostanie wdrożona w grudniu 2021 r. w ciągu kilku tygodni. Nie zmienia to zachowania logowania dla:

  • Aplikacje korzystające bezpośrednio z IWA
  • Aplikacje korzystające z protokołu OAuth
  • Domeny, które nie są federacyjne z wystąpieniem usług AD FS

Październik 2021

Błąd 50105 został naprawiony, aby nie zwracać interaction_required podczas uwierzytelniania interakcyjnego

Data wejścia w życie: październik 2021 r.

Wpływ na punkty końcowe: w wersji 2.0 i 1.0

Wpływ na protokół: wszystkie przepływy użytkowników dla aplikacji wymagających przypisania użytkownika

Zmień

Błąd 50105 (bieżące oznaczenie) jest emitowany, gdy nieprzypisany użytkownik próbuje zalogować się do aplikacji oznaczonej jako wymagające przypisania użytkownika. Jest to typowy wzorzec kontroli dostępu, a użytkownicy często muszą znaleźć administratora, aby zażądać przypisania w celu odblokowania dostępu. Błąd miał usterkę, która spowodowałaby nieskończone pętle w dobrze zakodowanych aplikacjach, które poprawnie obsłużyły interaction_required odpowiedź o błędzie. interaction_required informuje aplikację o wykonaniu uwierzytelniania interakcyjnego, ale nawet po wykonaniu tej czynności identyfikator Entra firmy Microsoft nadal zwraca interaction_required odpowiedź o błędzie.

Scenariusz błędu został zaktualizowany, tak aby podczas uwierzytelniania nieinterakcyjnego (gdzie prompt=none jest używane do ukrywania środowiska użytkownika), aplikacja zostanie poinstruowana o wykonaniu uwierzytelniania interakcyjnego interaction_required przy użyciu odpowiedzi na błąd. W kolejnym interakcyjnym uwierzytelnieniu identyfikator Entra firmy Microsoft będzie teraz przechowywać użytkownika i wyświetlać komunikat o błędzie bezpośrednio, uniemożliwiając wystąpienie pętli.

Przypominamy, że kod aplikacji nie powinien podejmować decyzji na podstawie ciągów kodu błędu, takich jak AADSTS50105. Zamiast tego postępuj zgodnie z naszymi wskazówkami dotyczącymi obsługi błędów i użyj ustandaryzowanych odpowiedzi uwierzytelniania, takich jak interaction_required i login_required znalezionych w polu standardowym error w odpowiedzi. Inne pola odpowiedzi są przeznaczone tylko do użycia przez ludzi, którzy rozwiązywają problemy.

Możesz przejrzeć bieżący tekst błędu 50105 i więcej informacji na temat usługi wyszukiwania błędów: https://login.microsoftonline.com/error?code=50105.

Identyfikator URI AppId w aplikacjach z jedną dzierżawą będzie wymagał użycia schematu domyślnego lub zweryfikowanych domen

Data wejścia w życie: październik 2021 r.

Wpływ na punkty końcowe: w wersji 2.0 i 1.0

Protokół, na który ma wpływ: wszystkie przepływy

Zmień

W przypadku aplikacji z jedną dzierżawą dodanie lub zaktualizowanie identyfikatora URI identyfikatora AppId sprawdza, czy domena w identyfikatorze URI schematu HTTPS znajduje się na liście zweryfikowanych domen w dzierżawie klienta lub że wartość używa schematu domyślnego (api://{appId}) dostarczonego przez identyfikator Entra firmy Microsoft. Może to uniemożliwić aplikacjom dodawanie identyfikatora URI AppId, jeśli domena nie znajduje się na liście zweryfikowanych domen lub wartość nie używa schematu domyślnego. Aby uzyskać więcej informacji na temat zweryfikowanych domen, zapoznaj się z dokumentacją domen niestandardowych.

Ta zmiana nie wpływa na istniejące aplikacje używające niezweryfikowanych domen w swoich identyfikatorach URI AppId. Weryfikuje tylko nowe aplikacje lub gdy istniejąca aplikacja aktualizuje identyfikator URI identyfikatora lub dodaje nowy do kolekcji identifierUri. Nowe ograniczenia dotyczą tylko identyfikatorów URI dodanych do kolekcji identifierUris aplikacji po 15 października 2021 r. Identyfikatory URI appId już w kolekcji identifierUris aplikacji, gdy ograniczenie zacznie obowiązywać 15 października 2021 r., będzie nadal działać, nawet jeśli dodasz nowe identyfikatory URI do tej kolekcji.

Jeśli żądanie zakończy się niepowodzeniem sprawdzania poprawności, interfejs API aplikacji do tworzenia/aktualizacji zwróci 400 badrequest element do klienta wskazujący wartość HostNameNotOnVerifiedDomain.

Obsługiwane są następujące formaty identyfikatorów URI identyfikatora aplikacji opartego na schematach HTTP i interfejsu API. Zastąp wartości symboli zastępczych zgodnie z opisem na liście poniżej tabeli.

Identyfikator obsługiwanej aplikacji
Formaty identyfikatora URI
Przykładowe identyfikatory URI identyfikatorów aplikacji
<api:// appId> api://00001111-aaaa-2222-bbbb-3333cccc4444
<api:// tenantId>/<appId> api://aaaabbbb-0000-cccc-1111-dddd2222eeee/00001111-aaaa-2222-bbbb-3333cccc4444
<api:// tenantId>/<ciąg> api://aaaabbbb-0000-cccc-1111-dddd2222eeee/api
<api:// string>/<appId> api://productapi/00001111-aaaa-2222-bbbb-3333cccc4444
<https:// tenantInitialDomain.onmicrosoft.com/>< string> https://contoso.onmicrosoft.com/productsapi
<https:// zweryfikowaneCustomDomain>/<ciąg> https://contoso.com/productsapi
<https:// ciąg.><verifiedCustomDomain> https://product.contoso.com
<https:// ciąg.><verifiedCustomDomain>/<string> https://product.contoso.com/productsapi
  • <appId> — właściwość identyfikatora aplikacji (appId) obiektu aplikacji.
  • <string> — wartość ciągu dla hosta lub segmentu ścieżki interfejsu API.
  • <tenantId> — identyfikator GUID wygenerowany przez platformę Azure do reprezentowania dzierżawy na platformie Azure.
  • <tenantInitialDomain> - <tenantInitialDomain.onmicrosoft.com>, gdzie< tenantInitialDomain> jest początkową nazwą domeny twórcą dzierżawy określonym podczas tworzenia dzierżawy.
  • <verifiedCustomDomain>zweryfikowana domena niestandardowa skonfigurowana dla dzierżawy firmy Microsoft Entra.

Uwaga

Jeśli używasz schematu api:// , należy dodać wartość ciągu bezpośrednio po "api://". Na przykład api://< ciąg.> Ta wartość ciągu może być identyfikatorem GUID lub dowolnym ciągiem. Jeśli dodasz wartość identyfikatora GUID, musi być zgodna z identyfikatorem aplikacji lub identyfikatorem dzierżawy. Wartość identyfikatora URI identyfikatora aplikacji musi być unikatowa dla dzierżawy. Jeśli dodasz identyfikator api://< tenantId> jako identyfikator URI identyfikatora aplikacji, nikt inny nie będzie mógł użyć tego identyfikatora URI w dowolnej innej aplikacji. Zaleceniem jest użycie api://< appId>, zamiast tego lub schematu HTTP.

Ważne

Wartość identyfikatora URI identyfikatora aplikacji nie może kończyć się ukośnikiem "/".

Uwaga

Chociaż można bezpiecznie usunąć identyfikatory IdentifierUri dla rejestracji aplikacji w bieżącej dzierżawie, usunięcie identyfikatorówUri może spowodować niepowodzenie klientów w przypadku innych rejestracji aplikacji.

Sierpień 2021

Dostęp warunkowy będzie wyzwalany tylko dla jawnie żądanych zakresów

Data wejścia w życie: sierpień 2021 r., z stopniowym wdrożeniem począwszy od kwietnia.

Wpływ na punkty końcowe: wersja 2.0

Wpływ na protokół: wszystkie przepływy korzystające z dynamicznej zgody

Obecnie aplikacje korzystające z zgody dynamicznej otrzymują wszystkie uprawnienia, dla których mają zgodę, nawet jeśli nie zostały żądane przez nazwę w parametrze scope . Aplikacja żądającą tylko, user.read ale z zgodą files.read , może być zmuszona do przekazania wymagania dostępu warunkowego przypisanego dla programu files.read, na przykład.

Aby zmniejszyć liczbę niepotrzebnych monitów o dostęp warunkowy, identyfikator Entra firmy Microsoft zmienia sposób, w jaki zakresy są udostępniane aplikacjom, więc tylko jawnie żądane zakresy wyzwalają dostęp warunkowy. Aplikacje uzależnione od poprzedniego zachowania identyfikatora Entra firmy Microsoft obejmującego wszystkie zakresy w tokenie — bez względu na to, czy jest to wymagane, czy nie — może zostać przerwane z powodu brakujących zakresów.

Aplikacje otrzymają teraz tokeny dostępu z kombinacją uprawnień: żądane tokeny i te, które mają zgodę, które nie wymagają monitów o dostęp warunkowy. Zakres dostępu dla tokenu jest odzwierciedlany w parametrze odpowiedzi tokenu scope .

Ta zmiana zostanie wprowadzona dla wszystkich aplikacji, z wyjątkiem tych, które mają obserwowaną zależność od tego zachowania. Deweloperzy będą otrzymywać powiadomienia, jeśli zostaną wykluczone z tej zmiany, ponieważ mogą mieć zależność od dodatkowych monitów dostępu warunkowego.

Przykłady

Aplikacja ma zgodę na user.readwartości , files.readwritei tasks.read. files.readwrite ma zastosowane zasady dostępu warunkowego, a pozostałe dwa nie. Jeśli aplikacja wysyła żądanie tokenu dla scope=user.readelementu , a aktualnie zalogowany użytkownik nie przekazał żadnych zasad dostępu warunkowego, wynikowy token będzie przeznaczony dla user.read uprawnień i tasks.read . tasks.read jest uwzględniana, ponieważ aplikacja ma dla niej zgodę i nie wymaga wymuszania zasad dostępu warunkowego.

Jeśli następnie aplikacja zażąda scope=files.readwritedostępu warunkowego wymaganego przez dzierżawę, wymusi wyświetlenie interakcyjnego monitu o uwierzytelnienie, w którym można spełnić zasady dostępu warunkowego. Zwrócony token będzie miał wszystkie trzy zakresy.

Jeśli aplikacja wyśle jedno ostatnie żądanie dla dowolnego z trzech zakresów (np scope=tasks.read. ), identyfikator Microsoft Entra id zobaczy, że użytkownik ukończył już zasady dostępu warunkowego wymagane dla files.readwriteprogramu , a następnie ponownie wyda token ze wszystkimi trzema uprawnieniami w niej.

Czerwiec 2021

Środowisko użytkownika przepływu kodu urządzenia będzie teraz zawierać monit o potwierdzenie aplikacji

Data wejścia w życie: czerwiec 2021 r.

Wpływ na punkty końcowe: w wersji 2.0 i 1.0

Wpływ na protokół: przepływ kodu urządzenia

Aby zapobiec atakom polegającym na wyłudzaniu informacji, przepływ kodu urządzenia zawiera teraz monit, który weryfikuje, czy użytkownik loguje się do oczekiwanej aplikacji.

Wyświetlony monit wygląda następująco:

Nowy monit z napisem

Maj 2020

Poprawka usterek: Identyfikator entra firmy Microsoft nie będzie już kodować adresu URL parametru stanu dwa razy

Data wejścia w życie: maj 2021 r.

Wpływ na punkty końcowe: w wersji 1.0 i 2.0

Wpływ na protokół: wszystkie przepływy, które odwiedzają /authorize punkt końcowy (przepływ niejawny i przepływ kodu autoryzacji)

Znaleziono usterkę i usunięto w odpowiedzi autoryzacji entra firmy Microsoft. /authorize Podczas uwierzytelniania state parametr żądania jest uwzględniony w odpowiedzi, aby zachować stan aplikacji i pomóc w zapobieganiu atakom CSRF. Microsoft Entra ID niepoprawnie zakodowany state w adresie URL parametr przed wstawieniem go do odpowiedzi, gdzie został zakodowany jeszcze raz. Spowoduje to niepoprawne odrzucenie odpowiedzi przez aplikacje z identyfikatora Entra firmy Microsoft.

Identyfikator entra firmy Microsoft nie będzie już kodować dwukrotnie tego parametru, umożliwiając aplikacjom poprawne analizowanie wyniku. Ta zmiana zostanie wprowadzona dla wszystkich aplikacji.

Zmieniają się punkty końcowe platformy Azure Government

Data wejścia w życie: 5 maja 2020 r. (zakończenie czerwca 2020 r.)

Dotyczy to punktów końcowych: wszystkie

Protokół, na który ma wpływ: wszystkie przepływy

1 czerwca 2018 r. oficjalny urząd Firmy Microsoft Entra dla platformy Azure Government zmienił się z https://login-us.microsoftonline.com na https://login.microsoftonline.us. Ta zmiana została również zastosowana do platformy Microsoft 365 GCC High i DoD, która również jest usługą Microsoft Entra ID platformy Azure Dla instytucji rządowych. Jeśli jesteś właścicielem aplikacji w dzierżawie instytucji rządowych USA, musisz zaktualizować aplikację, aby zalogować użytkowników w punkcie .us końcowym.

5 maja 2020 r. identyfikator Firmy Microsoft Entra rozpocznie wymuszanie zmiany punktu końcowego, co uniemożliwia użytkownikom rządu logowanie się do aplikacji hostowanych w dzierżawach instytucji rządowych USA przy użyciu publicznego punktu końcowego (microsoftonline.com). Aplikacje, których to dotyczy, zaczną pojawiać się błąd AADSTS900439 - USGClientNotSupportedOnPublicEndpoint. Ten błąd wskazuje, że aplikacja próbuje zalogować użytkownika us government w punkcie końcowym chmury publicznej. Jeśli Twoja aplikacja znajduje się w dzierżawie chmury publicznej i ma obsługiwać użytkowników instytucji rządowych USA, musisz zaktualizować aplikację, aby jawnie je obsługiwać. Może to wymagać utworzenia nowej rejestracji aplikacji w chmurze dla instytucji rządowych USA.

Wymuszanie tej zmiany zostanie przeprowadzone przy użyciu stopniowego wprowadzania na podstawie tego, jak często użytkownicy z chmury dla instytucji rządowych USA logują się do aplikacji — aplikacje logowane do użytkowników instytucji rządowych USA często będą widzieć wymuszanie, a aplikacje często używane przez użytkowników instytucji rządowych USA będą miały zastosowanie wymuszania. Oczekujemy, że wymuszanie zostanie ukończone we wszystkich aplikacjach w czerwcu 2020 r.

Aby uzyskać więcej informacji, zobacz wpis w blogu platformy Azure Government dotyczący tej migracji.

Marzec 2020 r.

Hasła użytkowników będą ograniczone do 256 znaków.

Data wejścia w życie: 13 marca 2020 r.

Dotyczy to punktów końcowych: wszystkie

Protokół, na który ma wpływ: wszystkie przepływy użytkowników.

Użytkownicy z hasłami dłuższymi niż 256 znaków, którzy logują się bezpośrednio do identyfikatora Entra firmy Microsoft (nie federacyjnego dostawcy tożsamości, takiego jak usługi AD FS), będą proszeni o zmianę haseł przed zalogowaniem się. Administratorzy mogą otrzymywać prośby o pomoc w zresetowaniu hasła użytkownika.

Błąd w dziennikach logowania będzie podobny do AADSTS 50052: InvalidPasswordExceedsMaxLength.

Wiadomość: The password entered exceeds the maximum length of 256. Please reach out to your admin to reset the password.

Korygowania:

Użytkownik nie może się zalogować, ponieważ jego hasło przekracza dozwoloną maksymalną długość. Powinni skontaktować się z administratorem, aby zresetować hasło. Jeśli samoobsługowe resetowanie hasła jest włączone dla swojej dzierżawy, może zresetować hasło, korzystając z linku "Nie pamiętam hasła".

Luty 2020 r.

Puste fragmenty zostaną dołączone do każdego przekierowania HTTP z punktu końcowego logowania.

Data wejścia w życie: 8 lutego 2020 r.

Wpływ na punkty końcowe: zarówno w wersji 1.0, jak i w wersji 2.0

Wpływ na protokół: przepływy OAuth i OIDC, które używają response_type=query — obejmuje to przepływ kodu autoryzacji w niektórych przypadkach i niejawny przepływ.

Gdy odpowiedź uwierzytelniania jest wysyłana z login.microsoftonline.com do aplikacji za pośrednictwem przekierowania HTTP, usługa dołączy pusty fragment do adresu URL odpowiedzi. Zapobiega to klasie ataków przekierowania, zapewniając, że przeglądarka czyści wszelkie istniejące fragmenty żądania uwierzytelniania. Żadne aplikacje nie powinny mieć zależności od tego zachowania.

Sierpień 2019

Semantyka formularzy POST będzie wymuszana bardziej ściśle — spacje i cudzysłowy zostaną zignorowane

Data wejścia w życie: 2 września 2019 r.

Wpływ na punkty końcowe: zarówno w wersji 1.0, jak i w wersji 2.0

Protokół, którego to dotyczy: w dowolnym miejscu jest używana funkcja POST (poświadczenia klienta, realizacja kodu autoryzacji, ROPC, OBO i realizacja tokenu odświeżania)

Począwszy od tygodnia 2 września 2019 r., żądania uwierzytelniania korzystające z metody POST zostaną zweryfikowane przy użyciu bardziej rygorystycznych standardów HTTP. W szczególności spacje i cudzysłowy (") nie zostaną już usunięte z wartości formularza żądania. Te zmiany nie powinny przerywać żadnych istniejących klientów i zapewnią niezawodne obsługę żądań wysyłanych do identyfikatora Entra firmy Microsoft za każdym razem. W przyszłości (patrz powyżej) planujemy dodatkowo odrzucić zduplikowane parametry i zignorować model BOM w ramach żądań.

Przykład:

?e= "f"&g=h Obecnie jest analizowana identycznie jak ?e=f&g=h - więc e == f. Dzięki tej zmianie zostanie ona przeanalizowana tak, aby e == "f" - jest to mało prawdopodobne, aby był to prawidłowy argument, a żądanie teraz zakończy się niepowodzeniem.

Lipiec 2019

Tokeny tylko aplikacji dla aplikacji z jedną dzierżawą są wystawiane tylko wtedy, gdy aplikacja kliencka istnieje w dzierżawie zasobów

Data wejścia w życie: 26 lipca 2019 r.

Wpływ na punkty końcowe: zarówno w wersji 1.0, jak i w wersji 2.0

Protokół, na który ma wpływ: poświadczenia klienta (tokeny tylko dla aplikacji)

Zmiana zabezpieczeń weszła w życie 26 lipca 2019 r. zmieniając sposób wydawania tokenów tylko dla aplikacji (za pośrednictwem udzielania poświadczeń klienta). Wcześniej aplikacje mogły uzyskiwać tokeny do wywoływania dowolnej innej aplikacji, niezależnie od obecności w dzierżawie lub rolach, na które wyraziła zgodę dla tej aplikacji. To zachowanie zostało zaktualizowane tak, aby w przypadku zasobów (czasami nazywanych internetowymi interfejsami API) ustawionych na jedną dzierżawę (wartość domyślna) aplikacja kliencka musi istnieć w dzierżawie zasobów. Istniejąca zgoda między klientem a interfejsem API nadal nie jest wymagana, a aplikacje powinny nadal wykonywać własne kontrole autoryzacji, aby upewnić się, że oświadczenie jest obecne i zawiera oczekiwaną roles wartość interfejsu API.

Komunikat o błędzie dla tego scenariusza obecnie stwierdza:

The service principal named <appName> was not found in the tenant named <tenant_name>. This can happen if the application has not been installed by the administrator of the tenant.

Aby rozwiązać ten problem, użyj środowiska zgody administratora, aby utworzyć jednostkę usługi aplikacji klienckiej w dzierżawie lub utworzyć ją ręcznie. To wymaganie gwarantuje, że dzierżawa udzieliła aplikacji uprawnienia do działania w ramach dzierżawy.

Przykładowe żądanie

https://login.microsoftonline.com/contoso.com/oauth2/authorize?resource=https://gateway.contoso.com/api&response_type=token&client_id=00001111-aaaa-2222-bbbb-3333cccc4444&... W tym przykładzie dzierżawa zasobów (urząd) jest contoso.com, aplikacja zasobów jest aplikacją z jedną dzierżawą wywoływaną gateway.contoso.com/api dla dzierżawy Contoso, a aplikacja kliencka to 00001111-aaaa-2222-bbbb-3333cccc4444. Jeśli aplikacja kliencka ma jednostkę usługi w Contoso.com, to żądanie może kontynuować. Jeśli jednak tak nie jest, żądanie zakończy się niepowodzeniem z powyższym błędem.

Jeśli jednak aplikacja bramy firmy Contoso była aplikacją wielodostępną, żądanie będzie kontynuowane niezależnie od aplikacji klienckiej z jednostką usługi w Contoso.com.

Identyfikatory URI przekierowania mogą teraz zawierać parametry ciągu zapytania

Data wejścia w życie: 22 lipca 2019 r.

Wpływ na punkty końcowe: zarówno w wersji 1.0, jak i w wersji 2.0

Protokół, na który ma wpływ: wszystkie przepływy

Na RFC 6749 aplikacje firmy Microsoft Entra mogą teraz rejestrować i używać identyfikatorów URI przekierowania (odpowiedzi) ze statycznymi parametrami zapytania (takimi jak https://contoso.com/oauth2?idp=microsoft) dla żądań OAuth 2.0. Dynamiczne identyfikatory URI przekierowania są nadal zabronione, ponieważ stanowią zagrożenie bezpieczeństwa i nie można ich używać do przechowywania informacji o stanie w żądaniu uwierzytelniania — w tym celu użyj parametru state .

Statyczny parametr zapytania podlega dopasowywaniu ciągów dla identyfikatorów URI przekierowania, takich jak każda inna część identyfikatora URI przekierowania — jeśli żaden ciąg nie jest zarejestrowany, który pasuje do dekodowanego identyfikatora URI redirect_uri, żądanie zostanie odrzucone. Jeśli identyfikator URI zostanie znaleziony w rejestracji aplikacji, cały ciąg zostanie użyty do przekierowania użytkownika, w tym parametru zapytania statycznego.

W tej chwili (koniec lipca 2019 r.) środowisko użytkownika rejestracji aplikacji w witrynie Azure Portal nadal blokuje parametry zapytania. Można jednak ręcznie edytować manifest aplikacji, aby dodać parametry zapytania i przetestować je w aplikacji.

marzec 2019 r.

Sprzężenie klientów zostanie przerwane

Data wejścia w życie: 25 marca 2019 r.

Wpływ na punkty końcowe: zarówno w wersji 1.0, jak i w wersji 2.0

Protokół, na który ma wpływ: wszystkie przepływy

Aplikacje klienckie mogą czasami źle działać, wydając setki tych samych żądań logowania w krótkim czasie. Te żądania mogą lub nie powiodły się, ale wszystkie one przyczyniają się do słabego środowiska użytkownika i zwiększonego obciążenia dostawcy tożsamości, co zwiększa opóźnienie dla wszystkich użytkowników i zmniejsza dostępność dostawcy tożsamości. Te aplikacje działają poza granicami normalnego użycia i powinny być aktualizowane tak, aby działały prawidłowo.

Klienci, którzy wystawiają zduplikowane żądania wielokrotnie, otrzymają invalid_grant komunikat o błędzie: AADSTS50196: The server terminated an operation because it encountered a loop while processing a request.

Większość klientów nie musi zmieniać zachowania, aby uniknąć tego błędu. Ten błąd będzie mieć wpływ tylko na nieprawidłowo skonfigurowanych klientów (bez buforowania tokenu lub tych, którzy już wykazują pętle monitu). Klienci są śledzone lokalnie (za pośrednictwem pliku cookie) na podstawie następujących czynników:

  • Wskazówka dla użytkownika, jeśli istnieje

  • Żądane zakresy lub zasób

  • Client ID

  • Adres URI przekierowania

  • Typ i tryb odpowiedzi

Aplikacje wysyłające wiele żądań (15+) w krótkim czasie (5 minut) otrzymają invalid_grant błąd wyjaśniający, że są one w pętli. Żądane tokeny mają wystarczająco długie okresy istnienia (domyślnie co najmniej 10 minut, 60 minut), więc powtarzające się żądania w tym okresie są niepotrzebne.

Wszystkie aplikacje powinny obsługiwać invalid_grant , wyświetlając interakcyjny monit, a nie dyskretnie żądając tokenu. Aby uniknąć tego błędu, klienci powinni upewnić się, że poprawnie buforują odbierane tokeny.

2018 października

Kody autoryzacji nie mogą być już ponownie używane

Data wejścia w życie: 15 listopada 2018 r.

Wpływ na punkty końcowe: zarówno w wersji 1.0, jak i w wersji 2.0

Wpływ na protokół: przepływ kodu

Od 15 listopada 2018 r. identyfikator Entra firmy Microsoft przestanie akceptować wcześniej używane kody uwierzytelniania dla aplikacji. Ta zmiana zabezpieczeń ułatwia wprowadzenie identyfikatora Entra firmy Microsoft zgodnie ze specyfikacją protokołu OAuth i będzie wymuszana zarówno w punktach końcowych w wersji 1, jak i w wersji 2.

Jeśli aplikacja ponownie używa kodów autoryzacji w celu pobrania tokenów dla wielu zasobów, zalecamy użycie kodu w celu uzyskania tokenu odświeżania, a następnie użycie tego tokenu odświeżania w celu uzyskania dodatkowych tokenów dla innych zasobów. Kody autoryzacji mogą być używane tylko raz, ale tokeny odświeżania mogą być używane wiele razy w wielu zasobach. Każda nowa aplikacja, która próbuje ponownie użyć kodu uwierzytelniania podczas przepływu kodu OAuth, otrzyma błąd invalid_grant.

Aby uzyskać więcej informacji na temat tokenów odświeżania, zobacz Odświeżanie tokenów dostępu. Jeśli używasz biblioteki ADAL lub MSAL, ta funkcja jest obsługiwana przez bibliotekę — zastąp drugie wystąpienie biblioteki AcquireTokenByAuthorizationCodeAsync AcquireTokenSilentAsync.

Maj 2018 r.

Tokeny identyfikatorów nie mogą być używane dla przepływu OBO

Data: 1 maja 2018 r.

Wpływ na punkty końcowe: zarówno w wersji 1.0, jak i w wersji 2.0

Wpływ na protokoły: niejawny przepływ i przepływ w imieniu

Po 1 maja 2018 r. nie można użyć id_tokens jako asercji w przepływie OBO dla nowych aplikacji. Tokeny dostępu powinny zamiast tego służyć do zabezpieczania interfejsów API, nawet między klientem a warstwą środkową tej samej aplikacji. Aplikacje zarejestrowane przed 1 maja 2018 r. będą nadal działać i będą mogły wymieniać id_tokens na token dostępu; jednak ten wzorzec nie jest uważany za najlepsze rozwiązanie.

Aby obejść tę zmianę, możesz wykonać następujące czynności:

  1. Utwórz internetowy interfejs API dla aplikacji z co najmniej jednym zakresem. Ten jawny punkt wejścia umożliwi bardziej szczegółową kontrolę i zabezpieczenia.
  2. W manifeście aplikacji w witrynie Azure Portal lub portalu rejestracji aplikacji upewnij się, że aplikacja może wystawiać tokeny dostępu za pośrednictwem przepływu niejawnego. Jest to kontrolowane za pomocą oauth2AllowImplicitFlow klucza.
  3. Gdy aplikacja kliencka żąda id_token za pośrednictwem response_type=id_tokenmetody , zażądaj również tokenu dostępu (response_type=token) dla internetowego interfejsu API utworzonego powyżej. W związku z tym w przypadku korzystania z punktu końcowego scope w wersji 2.0 parametr powinien wyglądać podobnie do api://GUID/SCOPE. W punkcie końcowym resource w wersji 1.0 parametr powinien być identyfikatorem URI aplikacji internetowego interfejsu API.
  4. Przekaż ten token dostępu do warstwy środkowej zamiast id_token.