Satisfazer os controles da MFA (autenticação multifator) do Microsoft Entra ID com declarações de MFA de um IdP federado

Este documento descreve as declarações que o Microsoft Entra ID exige de um provedor de identidade federado (IdP) para honrar os valores de federatedIdpMfaBehaviour configurados, acceptIfMfaDoneByFederatedIdp e enforceMfaByFederatedIdp, para federação Security Assertion Markup Language (SAML) e WS-Fed.

Dica

A configuração do Microsoft Entra ID com um IdP federado é opcional. O Microsoft Entra recomenda os métodos de autenticação disponíveis no Microsoft Entra ID.

• O Microsoft Entra ID inclui suporte para métodos de autenticação anteriormente disponíveis apenas por meio de um IdP federado, como certificado/cartão inteligente com Autenticação Baseada em Certificado do Entra
• A ID do Microsoft Entra inclui suporte para integrar provedores de MFA de terceiros com métodos de autenticação externa
• Aplicativos integrados com um IdP federado podem ser integrados diretamente ao Microsoft Entra ID

Usando o IdP federado WS-Fed ou SAML 1.1

Quando um administrador, opcionalmente, configura seu locatário do Microsoft Entra ID para usar um IdP federado usando a federação WS-Fed, o Microsoft Entra redireciona para o IdP para autenticação e espera uma resposta na forma de uma RSTR (Resposta do Token de Segurança de Solicitação), que contém uma declaração SAML 1.1. Se configurado para fazer isso, o Microsoft Entra honrará a MFA feita pelo IdP se uma destas duas declarações estiver presente:

• http://schemas.microsoft.com/claims/multipleauthn
• http://schemas.microsoft.com/claims/wiaormultiauthn

Eles podem ser incluídos na asserção como parte do elemento AuthenticationStatement. Por exemplo:

 <saml:AuthenticationStatement
    AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
    <saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>

Ou podem ser incluídos na asserção como parte dos elementos AttributeStatement. Por exemplo:

<saml:AttributeStatement>
  <saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
       <saml:AttributeValue>...</saml:AttributeValue> 
      <saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
  </saml:Attribute>
</saml:AttributeStatement>

Usando políticas de frequência de entrada e Acesso Condicional de controle de sessão com WS-Fed ou SAML 1.1

Frequência de entrada usa UserAuthenticationInstant (declaração SAML http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), que é AuthInstant da autenticação de primeiro fator usando senha para SAML1.1/WS-Fed.

Usando o IdP federado SAML 2.0

Quando um administrador, opcionalmente, configura seu locatário do Microsoft Entra ID para usar um IdP federado usando a federação SAMLP/SAML 2.0, o Microsoft Entra redireciona para o IdP para autenticação e espera uma resposta que contenha uma declaração SAML 2.0. As declarações de MFA de entrada devem estar presentes no elemento AuthnContext do AuthnStatement.

<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
    <AuthnContext>
        <AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
    </AuthnContext>
</AuthnStatement>

Como resultado, para que as declarações de MFA de entrada sejam processadas pelo Microsoft Entra, elas precisam estar presentes no elemento AuthnContext do AuthnStatement. Somente um método pode ser apresentado dessa maneira.

Usando políticas de frequência de entrada e Acesso Condicional de controle de sessão com SAML 2.0

Frequência de entrada usa o AuthInstant de MFA ou autenticação de primeiro fator fornecido no AuthnStatement. As declarações compartilhadas na seção AttributeReference do conteúdo são ignoradas, incluindo http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.

Conteúdo relacionado

federatedIdpMfaBehaviour