Satisfaça os controles de autenticação multifator (MFA) do Microsoft Entra ID com declarações de MFA de um IdP federado

Este documento descreve as asserções que o Microsoft Entra ID requer de um provedor de identidade federada (IdP) para honrar os valores de configurados federatedIdpMfaBehaviour de acceptIfMfaDoneByFederatedIdp e enforceMfaByFederatedIdp for Security Assertions Markup Language (SAML) e WS-Fed federação.

Dica

Configurar o Microsoft Entra ID com um IdP federado é opcional. Microsoft Entra recomenda os métodos de autenticação disponíveis no Microsoft Entra ID.

• O Microsoft Entra ID inclui suporte para métodos de autenticação anteriormente disponíveis apenas através de um IdP federado, como certificados/cartões inteligentes com o Entra Certificate Based Authentication
• O Microsoft Entra ID inclui suporte para integrar provedores de MFA de terceiros com Métodos de Autenticação Externa
• As aplicações integradas com um IdP federado podem ser integradas diretamente com o Microsoft Entra ID

Usando o IdP federado WS-Fed ou SAML 1.1

Quando um administrador configura de forma opcional o seu locatário do Microsoft Entra ID para usar um IdP federado através da federação WS-Fed, o Microsoft Entra redireciona para o IdP para a autenticação e espera uma resposta na forma de uma RSTR (Request Security Token Response) contendo uma asserção SAML 1.1. Se configurado para fazer isso, o Microsoft Entra honrará a MFA feita pelo IdP se uma das duas declarações a seguir estiver presente:

• http://schemas.microsoft.com/claims/multipleauthn
• http://schemas.microsoft.com/claims/wiaormultiauthn

Eles podem ser incluídos na asserção como parte do elemento AuthenticationStatement. Por exemplo:

 <saml:AuthenticationStatement
    AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
    <saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>

Ou podem ser incluídos na asserção como parte dos elementos AttributeStatement. Por exemplo:

<saml:AttributeStatement>
  <saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
       <saml:AttributeValue>...</saml:AttributeValue> 
      <saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
  </saml:Attribute>
</saml:AttributeStatement>

Usando a frequência de entrada e o controle de sessão Políticas de Acesso Condicional com WS-Fed ou SAML 1.1

de frequência de entrada usa UserAuthenticationInstant (asserção SAML http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), que é AuthInstant da autenticação de primeiro fator usando senha para SAML1.1/WS-Fed.

Usando o IdP federado SAML 2.0

Quando um administrador configura opcionalmente seu locatário do Microsoft Entra ID para usar um de IdP federado usando federação de SAMLP/SAML 2.0, o Microsoft Entra redirecionará para o IdP para autenticação e esperará uma resposta que contenha uma asserção SAML 2.0. As declarações de MFA de entrada devem estar presentes no elemento AuthnContext do AuthnStatement.

<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
    <AuthnContext>
        <AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
    </AuthnContext>
</AuthnStatement>

Como resultado, para que asserções de MFA de entrada sejam processadas pelo Microsoft Entra, elas devem estar presentes no elemento AuthnContext do AuthnStatement. Apenas um método pode ser apresentado desta forma.

Usando frequência de início de sessão e controlo de sessão nas políticas de Acesso Condicional com SAML 2.0

Frequência de entrada usa AuthInstant de MFA ou autenticação de Primeiro Fator fornecida no AuthnStatement. Todas as asserções compartilhadas na seção AttributeReference do pacote de dados são ignoradas, incluindo http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.

Conteúdo relacionado

Comportamento de MFA do IdP Federado