Nejčastější dotazy k Azure AD ověřování pomocí certifikátů (CBA)

Tento článek řeší nejčastější dotazy týkající se toho, jak funguje Azure AD ověřování pomocí certifikátů (CBA). Sledujte aktualizovaný obsah.

Proč po zadání uživatelského jména nevidím možnost přihlásit se k Azure Active Directory pomocí certifikátů?

Správce musí pro tenanta povolit CBA, aby bylo možné uživatelům zpřístupnit možnost přihlášení pomocí certifikátu. Další informace najdete v tématu Krok 3: Konfigurace zásad vazby ověřování.

Kde najdu další diagnostické informace po neúspěšném přihlášení uživatele?

Na stránce s chybou klikněte na Další podrobnosti a získáte další informace, které vám pomůžou správě tenanta. Správce tenanta může zkontrolovat sestavu přihlášení a prozkoumat ho podrobněji. Pokud je například uživatelský certifikát odvolaný a je součástí seznamu odvolaných certifikátů, ověřování selže správně. Pokud chcete získat další diagnostické informace, projděte si sestavu přihlášení.

Jak může správce povolit Azure AD CBA?

  1. Přihlaste se k Azure Portal jako globální správce.
  2. Klikněte naMetody>ověřování zabezpečení>Azure Active Directory>Základy ověřování >na základě certifikátua kliknutím na Ano povolte ověřování na základě certifikátů.

Je Azure AD CBA bezplatná funkce?

Ověřování pomocí certifikátů je bezplatná funkce. Každá edice Azure AD zahrnuje Azure AD CBA. Další informace o funkcích v jednotlivých Azure AD edicích najdete v tématu ceny Azure AD.

Podporuje Azure AD CBA jako uživatelské jméno alternativní ID místo userPrincipalName?

Ne, přihlašování pomocí jiné hodnoty než UPN, jako je alternativní e-mail, se teď nepodporuje.

Můžu mít pro certifikační autoritu (CA) více než jeden distribuční bod seznamu CRL?

Ne, pro každou certifikační autoritu se podporuje jenom jeden cdp.

Můžu mít adresy URL jiného typu než HTTP pro cdp?

Ne, CDP podporuje pouze adresy URL protokolu HTTP.

Návody zapnout nebo vypnout kontrolu odvolání certifikátu pro určitou certifikační autoritu?

Důrazně doporučujeme zakázat kontrolu seznamu odvolaných certifikátů (CRL), protože nebudete moct odvolávat certifikáty. Pokud ale potřebujete prošetřit problémy s kontrolou seznamu CRL, můžete aktualizovat důvěryhodnou certifikační autoritu a nastavit atribut crlDistributionPoint na hodnotu .

Použijte rutinu Set-AzureADTrustedCertificateAuthority :

$c=Get-AzureADTrustedCertificateAuthority
$c[0]. crlDistributionPoint=""
Set-AzureADTrustedCertificateAuthority -CertificateAuthorityInformation $c[0]

Existuje omezení velikosti seznamu CRL?

Platí následující omezení velikosti seznamu CRL:

  • Limit stahování interaktivního přihlašování: 20 MB (Globální azure zahrnuje GCC), 45 MB pro (Azure US Government, zahrnuje GCC High, Oddělení obrany)
  • Limit stahování služby: 45 MB (Globální azure zahrnuje GCC), 150 MB pro (Azure US Government, zahrnuje GCC High, Oddělení obrany)

Když stahování seznamu CRL selže, zobrazí se následující zpráva:

Seznam odvolaných certifikátů (CRL) stažený z {uri} překročil maximální povolenou velikost ({size} bajtů) pro seznamy CRL v Azure Active Directory. Zkuste to znovu za několik minut. Pokud problém přetrvává, obraťte se na správce tenanta.

Stahování zůstává na pozadí s vyššími limity.

Kontrolujeme dopad těchto omezení a plánujeme je odebrat.

Vidím platnou sadu koncových bodů seznamu odvolaných certifikátů (CRL), ale proč se nezobrazuje žádné odvolání seznamu CRL?

  • Ujistěte se, že je distribuční bod seznamu CRL nastavený na platnou adresu URL protokolu HTTP.
  • Ujistěte se, že je distribuční bod seznamu CRL přístupný prostřednictvím internetové adresy URL.
  • Ujistěte se, že velikosti seznamu CRL jsou v mezích limitů.

Návody certifikát okamžitě odvolat?

Postupujte podle pokynů k ručnímu odvolání certifikátu.

Projeví se změny zásad metod ověřování okamžitě?

Zásady se ukládají do mezipaměti. Po aktualizaci zásad může trvat až hodinu, než se změny projeví.

Proč se po selhání zobrazuje možnost ověřování pomocí certifikátů?

Zásady metody ověřování vždy uživateli zobrazují všechny dostupné metody ověřování, aby se mohl znovu přihlásit pomocí metody, které preferuje. Azure AD neskrývá dostupné metody na základě úspěšného nebo neúspěšného přihlášení.

Proč se ověřování na základě certifikátů (CBA) po selhání smyčí?

Prohlížeč po zobrazení výběru certifikátu certifikát ukládá do mezipaměti. Pokud se uživatel pokusí znovu, certifikát uložený v mezipaměti se použije automaticky. Uživatel by měl zavřít prohlížeč a znovu otevřít novou relaci, aby to zkusil CBA znovu.

Proč není možné k dokončení vícefaktorového ověřování použít jednofaktorové certifikáty?

Druhý faktor není podporován, pokud je prvním faktorem jednofaktorový certifikát. Pracujeme na přidání podpory pro druhé faktory.

Projeví se změny zásad metod ověřování okamžitě?

Zásady se ukládají do mezipaměti. Po aktualizaci zásad může trvat až hodinu, než se změny projeví.

Aktualizace CertificateUserIds selže s hodnotou, která už existuje. Jak se může správce dotazovat na všechny uživatelské objekty se stejnou hodnotou?

Správci tenanta můžou spuštěním dotazů MS Graph vyhledat všechny uživatele s danou hodnotou certificateUserId. Další informace najdete v dotazech grafu CertificateUserIds.

GET všechny uživatelské objekty, které mají hodnotu 'bob@contoso.com' v certificateUserIds:

GET  https://graph.microsoft.com/v1.0/users?$filter=certificateUserIds/any(x:x eq 'bob@contoso.com')