使用来自联合 IdP 的 MFA 声明满足 Microsoft Entra ID 多重身份验证 (MFA) 控制

本文档概述了 Microsoft Entra ID 要求联合标识提供者 (IdP) 提供的断言，以尊重针对安全断言标记语言 (SAML) 和 WS-Fed 联合的 acceptIfMfaDoneByFederatedIdp 和 enforceMfaByFederatedIdp 配置的 federatedIdpMfaBehaviour 值。

提示

使用联合 IdP 配置 Microsoft Entra ID 是可选的。 Microsoft Entra 建议使用 Microsoft Entra ID 中可用的身份验证方法。

• Microsoft Entra ID 包括对以前只能通过联合 IdP 提供的身份验证方法的支持，例如使用 Entra 基于证书的身份验证的证书/智能卡
• Microsoft Entra ID 包括支持将第三方 MFA 提供程序与外部身份验证方法集成
• 与联合 IdP 集成的应用程序可以直接与 Microsoft Entra ID 集成

使用 WS-Fed 或 SAML 1.1 联合 IdP

当管理员选择性地将其 Microsoft Entra ID 租户配置为使用 WS-Fed 联合的联合 IdP 时，Microsoft Entra 会重定向到 IdP 进行身份验证，并期望得到包含 SAML 1.1 断言的请求安全令牌响应 (RSTR) 形式的响应。 如果进行了相应配置，Microsoft Entra 会认可由 IdP 完成的 MFA，前提是存在以下两个声明之一：

• http://schemas.microsoft.com/claims/multipleauthn
• http://schemas.microsoft.com/claims/wiaormultiauthn

它们可以作为 AuthenticationStatement 元素的一部分包含在断言中。 例如：

 <saml:AuthenticationStatement
    AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
    <saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>

或者将它们作为 AttributeStatement 元素的一部分包含在断言中。 例如：

<saml:AttributeStatement>
  <saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
       <saml:AttributeValue>...</saml:AttributeValue> 
      <saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
  </saml:Attribute>
</saml:AttributeStatement>

通过 WS-Fed 或 SAML 1.1 使用登录频率和会话控制条件访问策略

登录频率使用 UserAuthenticationInstant（SAML 断言 http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant），即 SAML1.1/WS-Fed 使用密码进行第一要素身份验证的 AuthInstant。

使用 SAML 2.0 联合 IdP

当管理员选择性地将其 Microsoft Entra ID 租户配置为使用 SAMLP/SAML 2.0 联合的联合 IdP 时，Microsoft Entra 将重定向到 IdP 进行身份验证，并期望得到包含 SAML 2.0 断言的响应。 入站 MFA 断言必须存在于 AuthnStatement 的 AuthnContext 元素中。

<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
    <AuthnContext>
        <AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
    </AuthnContext>
</AuthnStatement>

因此，若要由 Microsoft Entra 处理入站 MFA 断言，它们必须存在于 AuthnStatement 的 AuthnContext 元素中。 只能以这种方式显示一种方法。

通过 SAML 2.0 使用登录频率和会话控制条件访问策略

登录频率使用 AuthnStatement 中提供的 MFA 或第一要素验证的 AuthInstant。 将忽略有效负载的 AttributeReference 部分中共享的任何断言，包括 http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant。

相关内容

federatedIdpMfaBehaviour