Afficher en anglais

Partage via

Satisfaire aux contrôles d’authentification multifacteur de Microsoft Entra ID (MFA) avec des revendications liées à MFA à partir d’un fournisseur d’identité fédéré

  • Article

Ce document décrit les assertions requises par Microsoft Entra ID à partir d’un fournisseur d’identité fédéré pour honorer les valeurs configurées federatedIdpMfaBehaviour de acceptIfMfaDoneByFederatedIdp et enforceMfaByFederatedIdp pour Security Assertion Markup Language (SAML) et la fédération WS-Fed.

Astuce

La configuration de Microsoft Entra ID avec un fournisseur d’identité fédéré est facultative. Microsoft Entra recommande des méthodes d’authentification disponibles dans Microsoft Entra ID.

Utilisation d’un fournisseur d’identité fédéré WS-Fed ou SAML 1.1

Lorsqu’un administrateur a la possibilité de configurer son locataire Microsoft Entra ID pour utiliser un fournisseur d’identité fédéré à l’aide de la fédération WS-Fed, Microsoft Entra redirige vers le fournisseur d’identité pour l’authentification et attend une réponse sous forme de jeton de sécurité de requête (RSTR) contenant une assertion SAML 1.1. S’il est configuré pour le faire, Microsoft Entra honore l’authentification multifacteur effectuée par le fournisseur d’identité si l’une des deux revendications suivantes est présente :

  • http://schemas.microsoft.com/claims/multipleauthn
  • http://schemas.microsoft.com/claims/wiaormultiauthn

Ils peuvent être inclus dans l’assertion dans le cadre de l’élément AuthenticationStatement. Par exemple:

XML 
 <saml:AuthenticationStatement
    AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
    <saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>

Elles peuvent également être incluses dans l’assertion comme partie des éléments AttributeStatement. Par exemple:

XML 
<saml:AttributeStatement>
  <saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
       <saml:AttributeValue>...</saml:AttributeValue><saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
  </saml:Attribute>
</saml:AttributeStatement>

Utilisation de la fréquence de connexion et des stratégies d’accès conditionnel relatives au contrôle de session avec WS-Fed ou SAML 1.1

La fréquence de connexion utilise UserAuthenticationInstant (assertion SAML http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), qui est AuthInstant de l’authentification par mot de passe de premier facteur pour SAML1.1/WS-Fed.

Utilisation d’un fournisseur d’identité fédéré SAML 2.0

Lorsqu’un administrateur a la possibilité de configurer son locataire Microsoft Entra ID pour utiliser un fournisseur d’identité fédéré à l’aide de la fédération SAMLP/SAML 2.0, Microsoft Entra redirigera vers le fournisseur d’identité pour l’authentification et attend une réponse contenant une assertion SAML 2.0. Les assertions MFA entrantes doivent être présentes dans l’élément AuthnContext du AuthnStatement.

XML 
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
    <AuthnContext>
        <AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
    </AuthnContext>
</AuthnStatement>

Par conséquent, pour que les assertions MFA entrantes soient traitées par Microsoft Entra, elles doivent être présentes dans l’élément AuthnContext du AuthnStatement. Une seule méthode peut être présentée de cette façon.

Utilisation des politiques d'accès conditionnel pour la fréquence de connexion et le contrôle de session avec SAML 2.0

La fréquence de connexion utilise AuthInstant de l’authentification par multifacteur ou par premier facteur, fournie dans l’élément AuthnStatement. Toutes les assertions partagées dans la section AttributeReference de la charge utile sont ignorées, y compris http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.

Contenu connexe

federatedIdpMfaBehaviour