Spełnianie wymagań kontroli uwierzytelniania wieloskładnikowego (MFA) w Microsoft Entra ID, korzystając z oświadczeń MFA od federacyjnego dostawcy tożsamości
W tym dokumencie opisano, jakie asercje wymaga Microsoft Entra ID od dostawcy tożsamości federacyjnej (IdP) do honorowania skonfigurowanych wartości federatedIdpMfaBehaviour: acceptIfMfaDoneByFederatedIdp i enforceMfaByFederatedIdp dla Języka Znaczników Asercji Zabezpieczeń (SAML) i federacji WS-Fed.
Napiwek
Konfigurowanie identyfikatora entra firmy Microsoft przy użyciu federacyjnego dostawcy tożsamości jest opcjonalne. Firma Microsoft zaleca metod uwierzytelniania dostępnych w Microsoft Entra ID.
- Identyfikator Entra firmy Microsoft obejmuje obsługę metod uwierzytelniania, które były wcześniej dostępne tylko przez federacyjnego dostawcę tożsamości, takich jak certyfikat/karta inteligentna z uwierzytelnianiem certyfikatowym Entra
- Microsoft Entra ID obejmuje wsparcie dla integracji zewnętrznych dostawców MFA z metodami uwierzytelniania zewnętrznego
- Aplikacje zintegrowane z federacyjnym dostawcą tożsamości można zintegrować bezpośrednio z usługą Microsoft Entra ID
Używanie dostawcy tożsamości federacyjnej WS-Fed lub SAML 1.1
Jeśli administrator konfiguruje opcjonalnie dzierżawę Microsoft Entra ID tak, aby korzystała z federacyjnego dostawcy tożsamości przy użyciu federacji WS-Fed, Microsoft Entra przekierowuje do dostawcy tożsamości w celu uwierzytelnienia i oczekuje odpowiedzi w postaci Odpowiedzi na żądanie tokenu zabezpieczającego (RSTR) zawierającej asercję SAML 1.1. Jeśli skonfigurowano taką opcję, Microsoft Entra honoruje uwierzytelnianie wieloskładnikowe wykonywane przez dostawcę tożsamości, jeśli obecne jest jedno z następujących dwóch roszczeń:
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
Można je uwzględnić w asercji w ramach elementu AuthenticationStatement. Na przykład:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
Można je również uwzględnić w twierdzeniu w ramach elementów AttributeStatement. Na przykład:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Korzystanie z częstotliwości logowania i kontroli dostępu warunkowego za pomocą zasad dostępu warunkowego WS-Fed lub SAML 1.1
częstotliwość logowania używa klasy UserAuthenticationInstant (http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstantasercji SAML), czyli AuthInstant pierwszego uwierzytelniania czynnika przy użyciu hasła dla protokołu SAML1.1/WS-Fed.
Używanie federacyjnego dostawcy tożsamości SAML 2.0
Jeśli administrator konfiguruje dzierżawcę Microsoft Entra ID do używania federacyjnego dostawcy tożsamości przy użyciu federacji SAML/SAML 2.0, Microsoft Entra przekierowuje do dostawcy tożsamości na potrzeby uwierzytelniania i oczekuje odpowiedzi zawierającej asercję SAML 2.0. Asercji uwierzytelniania wieloskładnikowego dla ruchu przychodzącego muszą znajdować się w elemecie AuthnContextAuthnStatement.
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
W związku z tym, aby asercje uwierzytelniania wieloskładnikowego dla ruchu przychodzącego były przetwarzane przez firmę Microsoft Entra, muszą być obecne w elemencie AuthnContextAuthnStatement. W ten sposób można przedstawić tylko jedną metodę.
Korzystanie z częstotliwości logowania i kontroli dostępu warunkowego za pomocą protokołu SAML 2.0
częstotliwość logowania korzysta z AuthInstant dla uwierzytelniania wieloskładnikowego lub autoryzacji pierwszego czynnika, podanych w AuthnStatement. Wszelkie asercje zawarte w sekcji AttributeReference ładunku są ignorowane, w tym http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.