Поддержка параметра prompt=login в службах федерации Active Directory (AD FS)
В следующем документе описывается встроенная поддержка параметра запроса=login, доступного в AD FS.
Что такое запрос=login?
Когда приложениям требуется запрашивать новую проверку подлинности из идентификатора Microsoft Entra ID, то есть для повторной проверки подлинности пользователя требуется идентификатор Microsoft Entra, даже если пользователь уже прошел проверку подлинности, он может отправить prompt=login
параметр в идентификатор Microsoft Entra в рамках запроса проверки подлинности.
Если этот запрос предназначен для федеративного пользователя, идентификатор Microsoft Entra должен сообщить поставщику удостоверений, например AD FS, что запрос предназначен для новой проверки подлинности.
По умолчанию идентификатор Microsoft Entra преобразуется prompt=login
wfresh=0
в федеративный поставщик удостоверений и wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
отправляет этот тип запросов проверки подлинности.
Эти параметры означают:
wfresh=0
: сделайте новую проверку подлинностиwauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
: используйте имя пользователя и пароль для нового запроса проверки подлинности
Это может привести к проблемам с корпоративной интрасетью и многофакторной проверкой подлинности, в которых требуется тип проверки подлинности, отличный от имени пользователя и пароля, по запросу wauth
параметра.
AD FS в Windows Server 2012 R2 с накопительным пакетом обновления за июль 2016 г. появилась встроенная поддержка prompt=login
параметра. Это означает, что теперь идентификатор Microsoft Entra может отправлять этот параметр как есть в службу AD FS в рамках запросов проверки подлинности Microsoft Entra ID и Office 365.
Версии AD FS, поддерживающие запрос=login
Ниже приведен список версий AD FS, поддерживающих prompt=login
параметр.
- AD FS в Windows Server 2012 R2 с накопительным пакетом обновления за июль 2016 г.
- AD FS в Windows Server 2016 или более поздней версии
Настройка федеративного домена для отправки запроса=входа в AD FS
Используйте модуль Microsoft Graph PowerShell для настройки параметра.
Сначала получите текущие значения
FederatedIdpMfaBehavior
,PreferredAuthenticationProtocol
аPromptLoginBehavior
для федеративного домена выполните следующую команду PowerShell:Get-MgDomainFederationConfiguration -DomainId <your_domain_name> | Format-List *
Примечание.
Выходные
Get-MgDomainFederationConfiguration
данные по умолчанию не отображают определенные свойства в консоли. Чтобы просмотреть все свойства, которыеFormat-List *
необходимо передать (|
) для принудительного вывода всех свойств объекта.Если значение свойства
PromptLoginBehavior
пусто ($null
) используется поведениеTranslateToFreshPasswordAuth
.Настройте требуемое значение
PromptLoginBehavior
, выполнив следующую команду:New-MgDomainFederationConfiguration -DomainId <your_domain_name> ` -FederatedIdpMfaBehavior <current_value_from_step1> ` -PreferredAuthenticationProtocol <current_value_from_step1> ` -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>
Ниже приведены возможные значения PromptLoginBehavior
параметра и их значение:
- TranslateToFreshPasswordAuth: означает поведение Microsoft Entra по умолчанию для перевода
prompt=login
wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password
в иwfresh=0
. - NativeSupport: означает, что
prompt=login
параметр будет отправлен как в AD FS. Это рекомендуемое значение, если AD FS находится в Windows Server 2012 R2 с накопительным пакетом обновления 2016 г. или выше. - Отключено: означает, что
wfresh=0
только отправляется в AD FS.