Zjišťování domovské sféry pro aplikaci

  • Článek

Zjišťování domovské sféry (HRD) je proces, který umožňuje microsoftu Entra ID určit, u kterého zprostředkovatele identity (IDP) se uživatel musí při přihlášení ověřit. Když se uživatel přihlásí k tenantovi Microsoft Entra pro přístup k prostředku nebo ke společné přihlašovací stránce Microsoft Entra, zadá uživatelské jméno (UPN). Microsoft Entra ID používá k zjištění, kde se uživatel musí přihlásit.

Uživatel se přesune na jednoho z následujících zprostředkovatelů identity, které se mají ověřit:

  • Domovský tenant uživatele (může být stejný jako prostředek, ke kterému se uživatel pokouší získat přístup).

  • Účet Microsoft. Uživatel je hostem v tenantovi prostředků, který k ověřování používá uživatelský účet.

  • Místní zprostředkovatel identity, jako je Active Directory Federation Services (AD FS) (ADFS).

  • Jiný zprostředkovatel identity, který je federovaný s tenantem Microsoft Entra.

Automatická akcelerace

Některé organizace konfigurují domény ve svém tenantovi Microsoft Entra tak, aby se federovaly s jiným zprostředkovatelem identity, jako je ADFS pro ověřování uživatelů.

Když se uživatel přihlásí k aplikaci, zobrazí se mu nejprve přihlašovací stránka Microsoft Entra. Když zadá hlavní název uživatele (UPN), pokud jsou v federované doméně, přejde na přihlašovací stránku zprostředkovatele identity obsluhující danou doménu. Za určitých okolností můžou správci chtít uživatele nasměrovat na přihlašovací stránku, když se přihlašují ke konkrétním aplikacím.

V důsledku toho mohou uživatelé přeskočit počáteční stránku ID Microsoft Entra. Tento proces se označuje jako "automatické zrychlení přihlašování". Microsoft už nedoporučuje konfigurovat automatickou akceleraci, protože může zabránit použití silnějších metod ověřování, jako je FIDO a brání spolupráci. Informace o výhodách konfigurace automatické akcelerace najdete v tématu Povolení přihlašování pomocí hesla bez hesla. Informace o tom, jak zabránit automatické akceleraci přihlašování, najdete v tématu Zakázání přihlášení automatické akcelerace.

V případech, kdy je tenant federovaný k jinému zprostředkovatele identity pro přihlášení, automatické zrychlení usnadňuje přihlašování uživatelů. Pro jednotlivé aplikace můžete nakonfigurovat automatickou akceleraci. Informace o vynucení automatické akcelerace pomocí HRD najdete v tématu Konfigurace automatické akcelerace .

Poznámka:

Pokud nakonfigurujete aplikaci pro automatickou akceleraci, nemůžou uživatelé používat spravované přihlašovací údaje (například FIDO) a uživatelé typu host se nemůžou přihlásit. Pokud uživatele vezmete přímo do federovaného zprostředkovatele identity k ověřování, neexistuje způsob, jak se vrátit na přihlašovací stránku Microsoft Entra. Uživatelé typu host, kteří se můžou muset přesměrovat na jiné tenanty nebo externí zprostředkovatele identity, jako je účet Microsoft, se k této aplikaci nemůžou přihlásit, protože přeskočí krok HRD.

Existují tři způsoby řízení automatické akcelerace federovaného zprostředkovatele identity:

  • Použijte nápovědu k doméně pro žádosti o ověření pro aplikaci.
  • Nakonfigurujte zásadu HRD tak, aby vynutil automatické zrychlení.
  • Nakonfigurujte zásadu HRD tak, aby ignorovala rady domény z konkrétních aplikací nebo pro určité domény.

Dialogové okno Potvrzení domény

Od dubna 2023 můžou organizace, které používají automatické zrychlení nebo inteligentní odkazy, začít zobrazovat novou obrazovku přidanou do přihlašovacího uživatelského rozhraní. Tato obrazovka s názvem Dialogové okno potvrzení domény je součástí obecného závazku Microsoftu k posílení zabezpečení a vyžaduje, aby uživatel potvrdil doménu tenanta, ke kterému se přihlašuje. Zrušte tok ověřování a obraťte se na správce IT (pokud je to možné), pokud se zobrazí dialogové okno potvrzení domény a nerozpoznáte doménu tenanta uvedenou. Tady je příklad toho, jak by dialogové okno potvrzení domény mohlo vypadat za vás:

Snímek obrazovky s dialogovým oknem potvrzení domény s identifikátorem přihlášení s<kelly@contoso.com> doménou tenanta contoso.com

Identifikátor v horní části dialogového okna kelly@contoso.compředstavuje identifikátor použitý k přihlášení. Doména tenanta uvedená v hlavičce dialogového okna a podheader zobrazuje doménu domovského tenanta účtu.

I když se dialogové okno Potvrzení domény nemusí zobrazovat pro každou instanci automatické akcelerace nebo inteligentních odkazů, dialog Potvrzení domény znamená automatické zrychlení a inteligentní odkazy už nebudou moct bez problémů pokračovat, když se zobrazí. Pokud vaše organizace vymaže soubory cookie z důvodu zásad prohlížeče nebo jinak, může se zobrazit dialogové okno potvrzení domény častěji. Vzhledem k tomu, že Id Microsoft Entra spravuje kompletní tok automatické akcelerace přihlášení, nemělo by zavedení dialogového okna Potvrzení domény vést k přerušení aplikace.

Dialogové okno potvrzení domény můžete také potlačit konfigurací zásad omezení tenanta v2 (TRv2). Zásada TRv2 dosahuje stejného stavu zabezpečení jako dialogové okno Potvrzení domény, a proto pokud je v požadavku hlavička zásady TRv2, potlačí se dialogové okno potvrzení domény.

Rady k doméně

Nápovědy k doméně jsou direktivy, které jsou součástí žádosti o ověření z aplikace. Dají se použít ke zrychlení přihlašování uživatele na federovanou přihlašovací stránku zprostředkovatele identity. Víceklientní aplikace je můžou také použít k urychlení uživatele přímo na značku přihlašovací stránky Microsoft Entra pro svého tenanta.

Například aplikace "largeapp.com" může svým zákazníkům umožnit přístup k aplikaci na vlastní adrese URL "contoso.largeapp.com". Aplikace může také v žádosti o ověření obsahovat nápovědu k doméně, která contoso.com.

Syntaxe nápovědy domény se liší v závislosti na použitém protokolu a je nakonfigurovaná v aplikaci následujícími způsoby:

  • Pro aplikace, které používají parametr WS-Federation: whr řetězec dotazu. Například whr=contoso.com.

  • Pro aplikace, které používají jazyk SAML (Security Assertion Markup Language): Žádost o ověření SAML obsahující nápovědu k doméně nebo řetězec dotazu whr=contoso.com.

  • Pro aplikace, které používají openID Připojení: domain_hint parametr řetězce dotazu. Například domain_hint=contoso.com.

Ve výchozím nastavení se Microsoft Entra ID pokusí přesměrovat přihlášení na nakonfigurovaný protokol IDP pro doménu, pokud jsou splněny obě následující podmínky:

  • Do žádosti o ověření z aplikace je zahrnuta nápověda k doméně.
  • Tenant je federovaný s danou doménou.

Pokud nápověda k doméně neodkazuje na ověřenou federovanou doménu, můžete ji ignorovat.

Poznámka:

Pokud je v žádosti o ověření zahrnutá nápověda k doméně a měla by být dodržena, její přítomnost přepíše automatické zrychlení nastavené pro aplikaci v zásadách HRD.

Zásady HRD pro automatické zrychlení

Některé aplikace neposkytují způsob konfigurace žádosti o ověření, kterou vygenerují. V těchto případech není možné použít nápovědy k doméně k řízení automatické akcelerace. Automatické zrychlení je možné nakonfigurovat prostřednictvím zásad zjišťování domovské sféry , aby se dosáhlo stejného chování.

Zásady HRD, aby se zabránilo automatické akceleraci

Některé aplikace Microsoftu a SaaS automaticky zahrnují domain_hints (například výsledkem je žádost o přihlášení s připojeným kódem&domain_hint=contoso.com), která může narušit zavedení spravovaných přihlašovacích údajů, https://outlook.com/contoso.com jako je FIDO. Pomocí zásad zjišťování domovské sféry můžete během zavádění spravovaných přihlašovacích údajů ignorovat rady domény z určitých aplikací nebo pro určité domény.

Povolení přímého ověřování ROPC federovaných uživatelů pro starší verze aplikací

Osvědčeným postupem je, aby aplikace používaly knihovny Microsoft Entra a interaktivní přihlašování k ověřování uživatelů. Knihovny se starají o toky federovaných uživatelů. Někdy starší aplikace, zejména aplikace, které používají přihlašovací údaje vlastníka prostředku (ROPC), uděluje, odešle uživatelské jméno a heslo přímo do Microsoft Entra ID a nejsou zapsány, aby porozuměly federaci. Nepracují s správným federovaným koncovým bodem a ověřují uživatele. Pokud se rozhodnete, můžete pomocí zásad zjišťování domovské sféry povolit konkrétní starší aplikace , které odesílaly přihlašovací údaje pro uživatelské jméno a heslo pomocí grantu ROPC k ověření přímo pomocí Microsoft Entra ID, musí být povolena synchronizace hodnot hash hesel.

Důležité

Přímé ověřování povolte jenom v případě, že máte zapnutou synchronizaci hodnot hash hesel a víte, že je v pořádku ověřit tuto aplikaci bez jakýchkoli zásad implementovaných vaším místním zprostředkovatelem identity. Pokud synchronizaci hodnot hash hesel vypnete nebo vypnete synchronizaci adresářů se službou AD Připojení z nějakého důvodu, měli byste tuto zásadu odebrat, abyste zabránili možnosti přímého ověřování pomocí zastaralé hodnoty hash hesel.

Nastavení zásad HRD

Zásady HRD pro aplikaci pro federované automatické zrychlení přihlašování nebo přímé cloudové aplikace můžete nastavit třemi kroky:

  1. Vytvořte zásadu HRD.

  2. Vyhledejte instanční objekt, ke kterému chcete zásadu připojit.

  3. Připojte zásadu k instančnímu objektu.

Zásady se projeví jenom pro konkrétní aplikaci, když jsou připojené k instančnímu objektu.

Na instančním objektu může být aktivní pouze jedna zásada HRD najednou.

K vytváření a správě zásad HRD můžete použít rutiny Microsoft Graph PowerShellu .

Objekt JSON je ukázkovou definicí zásad HRD:

{  
  "HomeRealmDiscoveryPolicy":
  {  
    "AccelerateToFederatedDomain":true,
    "PreferredDomain":"federated.example.edu",
    "AllowCloudPasswordValidation":false
  }
}

Typ zásady je HomeRealmDiscoveryPolicy.

Funkce AccelerateToFederatedDomain je volitelná. Pokud je accelerationToFederatedDomain false, zásady nemají žádný vliv na automatické zrychlení. Pokud je AkcelerToFederatedDomain pravdivá a v tenantovi je jenom jedna ověřená a federovaná doména, uživatelé se přesměrují přímo do federovaného zprostředkovatele identity pro přihlášení. Pokud je pravda a v tenantovi je více než jedna ověřená doména, musí být zadána doména PreferredDomain .

PreferredDomain je nepovinná. PreferredDomain by měla naznačovat doménu, na kterou se má zrychlit. Pokud má tenant jenom jednu federovanou doménu, může se vynechat. Pokud je vynechána a existuje více ověřených federovaných domén, zásady nemají žádný vliv.

Pokud je zadaná doména PreferredDomain , musí odpovídat ověřené federované doméně pro tenanta. Všichni uživatelé aplikace se musí k této doméně přihlásit – uživatelé, kteří se nemůžou přihlásit k federované doméně, jsou zachyceni a nemůžou se přihlásit.

AllowCloudPasswordValidation je volitelné. Pokud je allowCloudPasswordValidation true, aplikace může ověřit federovaného uživatele tak, že přímo do koncového bodu tokenu Microsoft Entra předá přihlašovací údaje uživatelského jména a hesla. Funguje to jenom v případě, že je povolená synchronizace hodnot hash hesel.

Kromě toho existují dvě možnosti hrdosti na úrovni tenanta, které nejsou uvedené v předchozí části tohoto článku:

Priorita a hodnocení zásad HRD

Zásady HRD se dají vytvořit a pak přiřadit konkrétním organizacím a instančním objektům. To znamená, že pro konkrétní aplikaci může platit více zásad, takže id Microsoft Entra musí rozhodnout, který z nich má přednost. Sada pravidel rozhoduje, které zásady HRD (z mnoha použitých) se projeví:

  • Pokud se v žádosti o ověření nachází nápověda k doméně, zkontroluje se zásada HRD pro tenanta (zásada nastavená jako výchozí tenant) a zkontroluje, jestli by se měly ignorovat rady domény. Pokud jsou povoleny rady domény, použije se chování určené nápovědou k doméně.

  • Pokud je k instančnímu objektu explicitně přiřazená zásada, vynucuje se.

  • Pokud není žádná nápověda k doméně a instančnímu objektu se explicitně nepřiřazuje žádná zásada, je vynucená zásada, která je explicitně přiřazená nadřazené organizaci instančního objektu.

  • Pokud neexistuje žádný tip k doméně a k instančnímu objektu nebo organizaci se nepřiřadí žádná zásada, použije se výchozí chování HRD.

Další kroky