Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das folgende Dokument beschreibt die systemeigene Unterstützung für den prompt=login-Parameter, der in AD FS verfügbar ist.
Was ist prompt=login?
Wenn Anwendungen eine neue Authentifizierung von der Microsoft Entra-ID anfordern müssen, was bedeutet, dass sie Microsoft Entra-ID benötigen, um den Benutzer erneut zu authentifizieren, auch wenn der Benutzer bereits authentifiziert wurde, kann er den prompt=login Parameter als Teil der Authentifizierungsanforderung an Microsoft Entra ID senden.
Wenn diese Anforderung für einen Verbundbenutzer bestimmt ist, muss Die Microsoft Entra-ID den IDP(z. B. AD FS) darüber informieren, dass die Anforderung für die neue Authentifizierung vorgesehen ist.
Standardmäßig übersetzt Microsoft Entra ID prompt=login als wfresh=0 und wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password und sendet diese Art von Authentifizierungsanforderungen an den föderierten IdP.
Diese Parameter bedeuten:
-
wfresh=0: Neue Authentifizierung durchführen -
wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: Benutzernamen/Kennwort für die neue Authentifizierungsanforderung verwenden
Dies kann Zu Problemen mit Unternehmensintranet- und mehrstufigen Authentifizierungsszenarien führen, bei denen ein anderer Authentifizierungstyp als Benutzername und Kennwort, wie vom wauth Parameter angefordert, gewünscht wird.
AD FS in Windows Server 2012 R2 mit dem Updaterollup vom Juli 2016 führte native Unterstützung für den prompt=login Parameter ein. Dies bedeutet, dass microsoft Entra-ID diesen Parameter as-is als Teil von Microsoft Entra ID- und Office 365-Authentifizierungsanforderungen an den AD FS-Dienst senden kann.
AD FS-Versionen, die prompt=login unterstützen
Es folgt eine Liste der AD FS-Versionen, die den prompt=login Parameter unterstützen.
- AD FS in Windows Server 2012 R2 mit dem Updaterollup vom Juli 2016
- AD FS in Windows Server 2016 oder höher
Konfigurieren einer Verbunddomäne zum Senden von prompt=login an AD FS
Verwenden Sie das Microsoft Graph PowerShell-Modul , um die Einstellung zu konfigurieren.
Rufen Sie zunächst die aktuellen Werte von
FederatedIdpMfaBehavior,PreferredAuthenticationProtocolundPromptLoginBehaviorfür die Verbunddomäne ab, indem Sie den folgenden PowerShell-Befehl ausführen:Get-MgDomainFederationConfiguration -DomainId <your_domain_name> | Format-List *Hinweis
Die Ausgabe von
Get-MgDomainFederationConfigurationstandardmäßig zeigt keine bestimmten Eigenschaften in der Konsole an. Um alle Eigenschaften anzuzeigen, sollten Sie die Ausgabe (mit|) anFormat-List *übergeben, um die Ausgabe aller Eigenschaften des Objekts zu erzwingen.Wenn der Wert der Eigenschaft
PromptLoginBehaviorleer ($null) ist, wird das VerhaltenTranslateToFreshPasswordAuthverwendet.Konfigurieren Sie den gewünschten Wert
PromptLoginBehavior, indem Sie den folgenden Befehl ausführen:New-MgDomainFederationConfiguration -DomainId <your_domain_name> ` -FederatedIdpMfaBehavior <current_value_from_step1> ` -PreferredAuthenticationProtocol <current_value_from_step1> ` -PromptLoginBehavior <TranslateToFreshPasswordAuth|nativeSupport|Disabled>
Im Folgenden sind die möglichen Werte des PromptLoginBehavior Parameters und deren Bedeutung aufgeführt:
-
TranslateToFreshPasswordAuth steht für das Microsoft Entra-Standardverhalten, also die Übersetzung von
prompt=logininwauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/passwordundwfresh=0. -
nativeSupport: bedeutet, dass der
prompt=loginParameter wie an AD FS gesendet wird. Dies ist der empfohlene Wert, wenn AD FS sich in Windows Server 2012 R2 mit dem Updaterollup vom Juli 2016 oder höher befindet. -
Deaktiviert: bedeutet, dass nur
wfresh=0an AD FS gesendet wird.