Microsoft Entra ID többtényezős hitelesítés technikai profil definiálása egyéni Azure AD B2C-szabályzatban
Az Azure Active Directory B2C (Azure AD B2C) támogatást nyújt egy telefonszám ellenőrzéséhez egy ellenőrző kód használatával, vagy egy időalapú egyszeri jelszó (TOTP) kód ellenőrzéséhez.
Protokoll
A Protokoll elem névattribútumát a következőre kell állítani Proprietary: . A kezelő attribútumnak tartalmaznia kell az Azure AD B2C által használt protokollkezelő-szerelvény teljes nevét:
Web.TPEngine.Providers.AzureMfaProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null
Az alábbi példa egy Microsoft Entra ID többtényezős hitelesítési technikai profilt mutat be:
<TechnicalProfile Id="AzureMfa-SendSms">
<DisplayName>Send Sms</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureMfaProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
...
Telefonos mód ellenőrzése
A telefonos ellenőrzés módban a technikai profil létrehoz és elküld egy kódot egy telefonszámra, majd ellenőrzi a kódot. A Microsoft Entra ID többtényezős hitelesítés technikai profilja szintén hibaüzenetet adhat vissza. Az érvényesítési műszaki profil ellenőrzi a felhasználó által megadott adatokat, mielőtt a felhasználói folyamat folytatódik. Az érvényesítési műszaki profillal egy hibaüzenet jelenik meg egy önaláírással ellátott lapon. A műszaki profil:
- Nem biztosít felületet a felhasználóval való interakcióhoz. Ehelyett a felhasználói felületet önérvényesített műszaki profilból vagy megjelenítési vezérlőből hívjuk meg érvényesítési műszaki profilként.
- A Microsoft Entra többtényezős hitelesítési szolgáltatással létrehoz és elküld egy kódot egy telefonszámra, majd ellenőrzi a kódot.
- A telefonszámot szöveges üzenetekkel ellenőrzi.
A technikai profil metódusokat biztosít az ellenőrző kód SMS-üzenetben történő elküldéséhez és a kód ellenőrzéséhez. Az alábbi képernyőképen a telefonos hitelesítő folyamat látható.
SMS küldése
A telefon ellenőrzéséhez az első lépés létrehoz egy kódot, és elküldi a telefonszámra. A következő beállítások konfigurálhatók ehhez a lépéshez.
Bemeneti jogcímek
Az InputClaims elem a Microsoft Entra többtényezős hitelesítésnek küldendő jogcímek listáját tartalmazza. A jogcím nevét az MFA műszaki profiljában meghatározott névre is megfeleltetheti.
| ClaimReferenceId | Kötelező | Leírás |
|---|---|---|
userPrincipalName |
Igen | Annak a felhasználónak az azonosítója, aki a telefonszámot birtokolja. |
phoneNumber |
Igen | A telefonszám, amelyre SMS-kódot szeretne küldeni. |
companyName |
Nem | A vállalat neve az SMS-ben. Ha nincs megadva, a rendszer az alkalmazás nevét használja. |
locale |
Nem | Az SMS területi beállítása. Ha nincs megadva, a rendszer a felhasználó böngészőbeli területi beállítását használja. |
Kimeneti jogcímek
A Microsoft Entra többtényezős hitelesítési protokoll szolgáltatója nem ad vissza kimeneti jogcímeket, így nincs szükség kimeneti jogcímek megadására.
Metaadatok
A Metaadatok elem a következő attribútumot tartalmazza.
| Attribútum | Kötelező | Leírás |
|---|---|---|
Operation |
Igen | Kell lennie OneWaySMS. |
Felhasználói felület elemei
Az alábbi metaadatok segítségével konfigurálható az SMS-hiba küldésekor megjelenő hibaüzenetek. A metaadatokat az önérvényesített műszaki profilban kell konfigurálni. A hibaüzenetek honosíthatók.
| Attribútum | Kötelező | Leírás |
|---|---|---|
UserMessageIfCouldntSendSms |
Nem | Felhasználói hibaüzenet, ha a megadott telefonszám nem fogadja el az SMS-t. |
UserMessageIfInvalidFormat |
Nem | Felhasználói hibaüzenet, ha a megadott telefonszám nem érvényes telefonszám. |
UserMessageIfServerError |
Nem | Felhasználói hibaüzenet, ha a kiszolgáló belső hibát észlelt. |
UserMessageIfThrottled |
Nem | Felhasználói hibaüzenet, ha a kérés szabályozása megtörtént. |
Példa: SMS küldése
Az alábbi példa egy Többtényezős Microsoft Entra-azonosítójú technikai profilt mutat be, amely sms-ben küldi el a kódot.
<TechnicalProfile Id="AzureMfa-SendSms">
<DisplayName>Send Sms</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureMfaProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="Operation">OneWaySMS</Item>
</Metadata>
<InputClaimsTransformations>
<InputClaimsTransformation ReferenceId="CombinePhoneAndCountryCode" />
<InputClaimsTransformation ReferenceId="ConvertStringToPhoneNumber" />
</InputClaimsTransformations>
<InputClaims>
<InputClaim ClaimTypeReferenceId="userPrincipalName" />
<InputClaim ClaimTypeReferenceId="fullPhoneNumber" PartnerClaimType="phoneNumber" />
</InputClaims>
</TechnicalProfile>
Kód ellenőrzése
Az ellenőrző kód lépés ellenőrzi a felhasználónak küldött kódot. A következő beállítások konfigurálhatók ehhez a lépéshez.
Bemeneti jogcímek
Az InputClaims elem a Microsoft Entra többtényezős hitelesítésnek küldendő jogcímek listáját tartalmazza. A jogcím nevét az MFA műszaki profiljában meghatározott névre is megfeleltetheti.
| ClaimReferenceId | Kötelező | Leírás |
|---|---|---|
phoneNumber |
Igen | Ugyanaz a telefonszám, mint korábban a kód küldéséhez. Telefonos ellenőrzési munkamenet megkeresésére is használható. |
verificationCode |
Igen | Az ellenőrizni kívánt felhasználó által megadott ellenőrző kód |
Kimeneti jogcímek
A Microsoft Entra többtényezős hitelesítési protokoll szolgáltatója nem ad vissza kimeneti jogcímeket, így nincs szükség kimeneti jogcímek megadására.
Metaadatok
A Metaadatok elem a következő attribútumot tartalmazza.
| Attribútum | Kötelező | Leírás |
|---|---|---|
Operation |
Igen | Kell lennie Verify. |
Felhasználói felület elemei
A kódellenőrzési hiba esetén megjelenő hibaüzenetek konfigurálásához az alábbi metaadatok használhatók. A metaadatokat az önérvényesített műszaki profilban kell konfigurálni. A hibaüzenetek honosíthatók.
| Attribútum | Kötelező | Leírás |
|---|---|---|
UserMessageIfMaxAllowedCodeRetryReached |
Nem | Felhasználói hibaüzenet, ha a felhasználó túl sokszor kísérelt meg ellenőrző kódot. |
UserMessageIfServerError |
Nem | Felhasználói hibaüzenet, ha a kiszolgáló belső hibát észlelt. |
UserMessageIfThrottled |
Nem | Felhasználói hibaüzenet, ha a kérés szabályozva van. |
UserMessageIfWrongCodeEntered |
Nem | Felhasználói hibaüzenet, ha az ellenőrzéshez megadott kód hibás. |
Példa: kód ellenőrzése
Az alábbi példa egy Microsoft Entra ID többtényezős hitelesítési technikai profilt mutat be, amely a kód ellenőrzésére szolgál.
<TechnicalProfile Id="AzureMfa-VerifySms">
<DisplayName>Verify Sms</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureMfaProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="Operation">Verify</Item>
</Metadata>
<InputClaims>
<InputClaim ClaimTypeReferenceId="phoneNumber" PartnerClaimType="phoneNumber" />
<InputClaim ClaimTypeReferenceId="verificationCode" />
</InputClaims>
</TechnicalProfile>
TOTP mód
Ebben a módban a felhasználónak telepítenie kell minden olyan hitelesítő alkalmazást, amely támogatja az egyszeri jelszó (TOTP) ellenőrzését, például a Microsoft Authenticator alkalmazást egy saját eszközén.
Az első regisztráció vagy bejelentkezés során a felhasználó beolvassa a QR-kódot, megnyit egy mélyhivatkozást, vagy manuálisan írja be a kódot a hitelesítő alkalmazással. A TOTP-kód ellenőrzéséhez használja az OTP ellenőrzésének megkezdését, majd a TOTP érvényesítési technikai profilok ellenőrzését.
A későbbi bejelentkezésekhez használja az Elérhető eszközök lekérése metódust annak ellenőrzésére, hogy a felhasználó regisztrálta-e már az eszközét. Ha az elérhető eszközök száma nagyobb, mint nulla, ez azt jelzi, hogy a felhasználó korábban regisztrált. Ebben az esetben a felhasználónak be kell gépelnie a hitelesítő alkalmazásban megjelenő TOTP-kódot.
A műszaki profil:
- Nem biztosít felületet a felhasználóval való interakcióhoz. Ehelyett a felhasználói felületet egy önaláért technikai profilból hívjuk meg, a TOTP megjelenítési vezérlőivel.
- A Microsoft Entra többtényezős hitelesítési szolgáltatással érvényesíti a TOTP-kódot.
- Ellenőrzi, hogy egy felhasználó regisztrálta-e már az eszközét.
Az alábbi képernyőképen egy TOTP-regisztráció és ellenőrzési folyamat látható. Első lépésként ellenőrizze az elérhető eszközök számát. Ha az elérhető eszközök száma nulla, a felhasználó végighalad a regisztrációs vezénylési lépésen. Ellenkező esetben a felhasználó végighalad az ellenőrzési vezénylési lépésen.
Elérhető eszközök lekérése
Az elérhető eszköz mód ellenőrzi a felhasználó számára elérhető eszközök számát. Ha az elérhető eszközök száma nulla, az azt jelzi, hogy a felhasználó még nem regisztrált.
Bemeneti jogcímek
Az InputClaims elem a Microsoft Entra többtényezős hitelesítésnek küldendő jogcímek listáját tartalmazza. A jogcím nevét az MFA műszaki profiljában meghatározott névre is megfeleltetheti.
| ClaimReferenceId | Kötelező | Leírás |
|---|---|---|
userPrincipalName |
Igen | A felhasználónév. |
Kimeneti jogcímek
A kimeneti jogcímek elem tartalmazza a Microsoft Entra többtényezős hitelesítésből visszaküldött jogcímek listáját. A jogcím nevét az MFA műszaki profiljában meghatározott névre is megfeleltetheti.
| ClaimReferenceId | Kötelező | Leírás |
|---|---|---|
numberOfAvailableDevices |
Igen | A felhasználó számára elérhető eszközök száma. |
Metaadatok
A Metaadatok elem a következő attribútumot tartalmazza.
| Attribútum | Kötelező | Leírás |
|---|---|---|
Operation |
Igen | Kell lennie GetAvailableDevices. |
Példa: Elérhető eszközök lekérése
Az alábbi példa egy Microsoft Entra ID többtényezős hitelesítési technikai profilt mutat be, amely az elérhető eszközök számának lekérésére szolgál.
<TechnicalProfile Id="AzureMfa-GetAvailableDevices">
<DisplayName>Get Available Devices</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureMfaProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="Operation">GetAvailableDevices</Item>
</Metadata>
<InputClaims>
<InputClaim ClaimTypeReferenceId="userPrincipalName" />
</InputClaims>
<OutputClaims>
<OutputClaim ClaimTypeReferenceId="numberOfAvailableDevices" />
</OutputClaims>
</TechnicalProfile>
A TOTP ellenőrzésének megkezdése
A TOTP első ellenőrzése elindítja az ellenőrzési folyamatot. Ezt az érvényesítési műszaki profilt az önaláírt műszaki profilból hívjuk meg, amely TOTP-kódokat jelenít meg és ellenőriz. Ezt az érvényesítési műszaki profilt a TOTP ellenőrzési műszaki profiljainak ellenőrzésére irányuló hívásnak kell követnie.
Bemeneti jogcímek
Az InputClaims elem a Microsoft Entra többtényezős hitelesítésnek küldendő jogcímek listáját tartalmazza. A jogcím nevét az MFA műszaki profiljában meghatározott névre is megfeleltetheti.
| ClaimReferenceId | Kötelező | Leírás |
|---|---|---|
userPrincipalName |
Igen | A felhasználónév. |
objectId |
Igen | A felhasználói objektum azonosítója. |
secretKey |
Igen | A felhasználó titkos kulcsa. Ezt a kulcsot a rendszer a felhasználó profiljában tárolja az Azure AD B2C könyvtárban, és meg van osztva a hitelesítő alkalmazással. A hitelesítő alkalmazás a titkos kód használatával hozza létre a TOTP-kódot. Ez a technikai profil a titkos kód használatával ellenőrzi a TOTP-kódot. |
Kimeneti jogcímek
A Microsoft Entra többtényezős hitelesítési protokoll szolgáltatója nem ad vissza kimeneti jogcímeket, így nincs szükség kimeneti jogcímek megadására.
Metaadatok
A Metaadatok elem a következő attribútumot tartalmazza.
| Attribútum | Kötelező | Leírás |
|---|---|---|
Operation |
Igen | Kell lennie BeginVerifyOTP. |
Példa: A TOTP ellenőrzésének megkezdése
Az alábbi példa egy Microsoft Entra ID többtényezős hitelesítési technikai profilt mutat be, amely a TOTP-ellenőrzési folyamat elindításához használható.
<TechnicalProfile Id="AzureMfa-BeginVerifyOTP">
<DisplayName>Begin verify TOTP"</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureMfaProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="Operation">BeginVerifyOTP</Item>
</Metadata>
<InputClaims>
<InputClaim ClaimTypeReferenceId="secretKey" />
<InputClaim ClaimTypeReferenceId="objectId" />
<InputClaim ClaimTypeReferenceId="userPrincipalName" />
</InputClaims>
</TechnicalProfile>
TOTP ellenőrzése
Az ellenőrző TOTP metódus egy TOTP-kódot ellenőriz. Ezt az érvényesítési műszaki profilt az önaláírt műszaki profilból hívjuk meg, amely TOTP-kódokat jelenít meg és ellenőriz. Ezt az érvényesítési műszaki profilt meg kell előznie egy hívásnak a TOTP ellenőrzési műszaki profilok ellenőrzésének megkezdéséhez.
Bemeneti jogcímek
Az InputClaims elem a Microsoft Entra többtényezős hitelesítésnek küldendő jogcímek listáját tartalmazza. A jogcím nevét az MFA műszaki profiljában meghatározott névre is megfeleltetheti.
| ClaimReferenceId | Kötelező | Leírás |
|---|---|---|
otpCode |
Igen | A felhasználó által megadott TOTP-kód. |
Kimeneti jogcímek
A Microsoft Entra többtényezős hitelesítési protokoll szolgáltatója nem ad vissza kimeneti jogcímeket, így nincs szükség kimeneti jogcímek megadására.
Metaadatok
A Metaadatok elem a következő attribútumot tartalmazza.
| Attribútum | Kötelező | Leírás |
|---|---|---|
Operation |
Igen | Kell lennie VerifyOTP. |
Példa: TOTP ellenőrzése
Az alábbi példa egy Többtényezős Microsoft Entra-azonosítójú, TOTP-kód ellenőrzésére használt technikai profilt mutat be.
<TechnicalProfile Id="AzureMfa-VerifyOTP">
<DisplayName>Verify OTP</DisplayName>
<Protocol Name="Proprietary" Handler="Web.TPEngine.Providers.AzureMfaProtocolProvider, Web.TPEngine, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" />
<Metadata>
<Item Key="Operation">VerifyOTP</Item>
</Metadata>
<InputClaims>
<InputClaim ClaimTypeReferenceId="otpCode" />
</InputClaims>
</TechnicalProfile>