Unterstützung des Parameters „prompt=login“ der Active Directory-Verbunddienste (AD FS)
In diesem Dokument wird die native Unterstützung für den Parameter „prompt=login“ in AD FS beschrieben.
Wozu dient „prompt=login“?
Wenn Anwendungen eine neue Authentifizierung von Microsoft Entra ID anfordern müssen, Microsoft Entra ID die Benutzer*innen also erneut authentifizieren muss, auch wenn diese bereits authentifiziert wurden, können sie den Parameter prompt=login als Teil der Authentifizierungsanforderung an Microsoft Entra ID senden.
Wenn diese Anforderung für Verbundbenutzer*innen gilt, muss Microsoft Entra ID den IdP (z. B. AD FS) darüber informieren, dass es sich um eine neue Authentifizierung handelt.
Standardmäßig übersetzt Microsoft Entra ID beim Senden dieses Typs von Authentifizierungsanforderungen an den Verbund-IdP prompt=login in wfresh=0 und wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password.
Diese Parameter bedeuten Folgendes:
wfresh=0: Durchführen einer neuen Authentifizierungwauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: Verwenden des Benutzernamens/Kennworts für die neue Authentifizierungsanforderung
Dies kann zu Problemen in Szenarien in Unternehmensintranets mit Multi-Faktor-Authentifizierung führen, in denen ein anderer Authentifizierungstyp als Benutzername und Kennwort gewünscht ist, der vom Parameter wauth angefordert wird.
Für AD FS wurde unter Windows Server 2012 R2 mit dem Updaterollup vom Juli 2016 native Unterstützung für den Parameter prompt=login eingeführt. Dies bedeutet, dass Microsoft Entra ID diesen Parameter jetzt als Teil von Microsoft Entra ID- und Office 365 Authentifizierungsanforderungen unverändert an den AD FS-Dienst senden kann.
AD FS-Versionen mit Unterstützung für „prompt=login“
Im Folgenden finden Sie eine Liste der AD FS-Versionen, die den Parameter prompt=login unterstützen.
- AD FS unter Windows Server 2012 R2 mit dem Updaterollup vom Juli 2016
- AD FS unter Windows Server 2016 oder höher
Konfigurieren einer Verbunddomäne zum Senden von „prompt=login“ an AD FS
Verwenden Sie das Microsoft Graph PowerShell-Modul, um die Einstellung zu konfigurieren.
Rufen Sie zunächst die aktuellen Werte von
FederatedIdpMfaBehavior,PreferredAuthenticationProtocolundPromptLoginBehaviorfür die Verbunddomäne ab, indem Sie den folgenden PowerShell-Befehl ausführen:Get-MgDomainFederationConfiguration -DomainId <your_domain_name> | Format-List *Hinweis
Die Ausgabe von
Get-MgDomainFederationConfigurationzeigt standardmäßig keine bestimmten Eigenschaften an der Konsole an. Um alle Eigenschaften anzuzeigen, sollten Sie die Ausgabe (mit|) anFormat-List *übergeben, um die Ausgabe aller Eigenschaften des Objekts zu erzwingen.Wenn der Wert der
PromptLoginBehavior-Eigenschaft leer ist ($null), wird das Verhalten vonTranslateToFreshPasswordAuthangewandt.Konfigurieren Sie den gewünschten Wert von
PromptLoginBehavior, indem Sie den folgenden Befehl ausführen:New-MgDomainFederationConfiguration -DomainId <your_domain_name> ` -FederatedIdpMfaBehavior <current_value_from_step1> ` -PreferredAuthenticationProtocol <current_value_from_step1> ` -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>
Im Folgenden sind die möglichen Werte des PromptLoginBehavior-Parameters und ihre Bedeutung aufgeführt:
- TranslateToFreshPasswordAuth steht für das Microsoft Entra-Standardverhalten, also die Übersetzung von
prompt=logininwauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/passwordundwfresh=0. - NativeSupport bedeutet, dass der Parameter
prompt=loginunverändert an AD FS gesendet wird. Dieser Wert wird empfohlen, wenn AD FS unter Windows Server 2012 R2 mit dem Updaterollup vom Juli 2016 oder höher ausgeführt wird. - Disabled bedeutet, dass nur
wfresh=0an AD FS gesendet wird.