Hitelesítési módszerek a Microsoft Entra ID-ban – OATH-jogkivonatok

  • Cikk

Az OATH időalapú egyszeri jelszava (TOTP) egy nyílt szabvány, amely meghatározza az egyszeri jelszókódok (OTP) létrehozását. Az OATH TOTP szoftverrel vagy hardverrel implementálható a kódok létrehozásához. A Microsoft Entra ID nem támogatja az OATH HOTP-t, egy másik kódgenerálási szabványt.

OATH szoftverjogkivonatok

A szoftveres OATH-tokenek jellemzően olyan alkalmazások, mint a Microsoft Authenticator alkalmazás és más hitelesítési alkalmazások. A Microsoft Entra ID generálja a titkos kulcsot vagy magot, amelyet az alkalmazásba kell bevinni, és minden egyes OTP generálásához kell használni.

Az Authenticator alkalmazás automatikusan generál kódokat, amikor leküldéses értesítésekre van beállítva, így a felhasználó akkor is rendelkezik biztonsági mentéssel, ha az eszköz nem rendelkezik kapcsolattal. Olyan külső alkalmazások is használhatók, amelyek az OATH TOTP protokollt használják kódok létrehozásához.

Egyes OATH TOTP hardveres jogkivonatok programozhatók, ami azt jelenti, hogy nem rendelkeznek titkos kulccsal vagy előre beprogramozott maggal. Ezek a programozható hardveres jogkivonatok a szoftverjogkivonat beállítási folyamatából beszerzett titkos kulcs vagy mag használatával állíthatók be. Az ügyfelek megvásárolhatják ezeket a jogkivonatokat a választott szállítótól, és használhatják a titkos kulcsot vagy a vetőmagot a szállító beállítási folyamatában.

OATH hardverjogkivonatok (előzetes verzió)

A Microsoft Entra ID támogatja az OATH-TOTP SHA-1 jogkivonatok használatát, amelyek 30 vagy 60 másodpercenként frissítik a kódokat. Az ügyfelek megvásárolhatják ezeket a jogkivonatokat a választott szállítótól. A hardveres OATH-jogkivonatok microsoft Entra-azonosítójú P1 vagy P2 licenccel rendelkező felhasználók számára érhetők el.

Fontos

Az előzetes verzió csak az Azure Global és az Azure Government felhőkben támogatott.

AZ OATH TOTP hardveres jogkivonatok általában titkos kulccsal vagy maggal rendelkeznek, amelyeket előre beprogramoztak a jogkivonatba. Ezeket a kulcsokat be kell írni a Microsoft Entra-azonosítóba az alábbi lépésekben leírtak szerint. A titkos kulcsok legfeljebb 128 karakter hosszúságúak, amelyek egyes jogkivonatokkal nem kompatibilisek. A titkos kulcs csak az a-z vagy A-Z karaktereket és a 2–7. számjegyeket tartalmazhatja, és a Base32-ben kell kódolni.

A szoftverjogkivonatok beállítási folyamatában a programozható OATH TOTP hardveres jogkivonatok is beállíthatók Microsoft Entra-azonosítóval.

Az OATH hardveres jogkivonatai a nyilvános előzetes verzió részeként támogatottak. További információ az előzetes verziókról: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Az OATH-jogkivonat kezelésének képernyőképe.

A jogkivonatok beszerzése után vesszővel tagolt (CSV) fájlformátumban kell feltölteni őket. A fájlnak tartalmaznia kell az UPN-t, a sorozatszámot, a titkos kulcsot, az időintervallumot, a gyártót és a modellt, ahogyan az a következő példában látható:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Feljegyzés

Győződjön meg arról, hogy a fejlécsort a CSV-fájlba is belefoglalja.

Miután megfelelően formázta CSV-fájlként, a globális Rendszergazda istrator bejelentkezhet a Microsoft Entra felügyeleti központjába, navigálhat a Protection>Multifactor hitelesítési>OATH-jogkivonataihoz, és feltöltheti az eredményül kapott CSV-fájlt.

A CSV-fájl méretétől függően a feldolgozás néhány percet is igénybe vehet. A Frissítés gombra kattintva lekérheti az aktuális állapotot. Ha bármilyen hiba van a fájlban, letölthet egy CSV-fájlt, amely felsorolja a megoldandó hibákat. A letöltött CSV-fájl mezőnevei eltérnek a feltöltött verziótól.

A hibák elhárítása után a rendszergazda aktiválhatja az egyes kulcsokat az Aktiválás a jogkivonathoz és a jogkivonaton megjelenő OTP beírásával. Legfeljebb 200 OATH-jogkivonatot aktiválhat 5 percenként.

A felhasználók legfeljebb öt OATH hardverjogkivonat vagy hitelesítő alkalmazás kombinációjával rendelkezhetnek, például a Microsoft Authenticator alkalmazással, amely bármikor konfigurálva van a használatra. A hardveres OATH-jogkivonatok nem rendelhetők hozzá az erőforrás-bérlő vendégfelhasználóihoz.

Fontos

Ügyeljen arra, hogy minden jogkivonatot csak egyetlen felhasználóhoz rendeljen. A jövőben egyetlen jogkivonat több felhasználóhoz való hozzárendelésének támogatása leáll a biztonsági kockázat elkerülése érdekében.

Hiba elhárítása a feltöltés feldolgozása során

Időnként előfordulhatnak ütközések vagy problémák a CSV-fájl feltöltésének feldolgozásával kapcsolatban. Ütközés vagy probléma esetén az alábbihoz hasonló értesítést kap:

Képernyőkép a feltöltési hiba példájáról.

A hibaüzenet meghatározásához győződjön meg róla, és válassza a Részletek megtekintése lehetőséget. Ekkor megnyílik a Hardver jogkivonat állapota panel, és a feltöltés állapotának összegzését adja meg. Azt mutatja, hogy hiba történt, vagy több hiba történt, mint az alábbi példában:

Képernyőkép a hardverjogkivonat állapotáról.

A hiba okának megállapításához kattintson a megtekinteni kívánt állapot melletti jelölőnégyzetre, amely aktiválja a Letöltés lehetőséget. Ez letölt egy CSV-fájlt, amely tartalmazza az azonosított hibát.

Képernyőkép a letöltési állapot példájáról.

A letöltött fájl neve Failures_filename.csv, ahol a fájlnév a feltöltött fájl neve. A rendszer a böngésző alapértelmezett letöltési könyvtárába menti.

Ez a példa a bérlői címtárban jelenleg nem létező felhasználóként azonosított hibát mutatja be:

Képernyőkép a hiba okáról.

Miután megoldotta a felsorolt hibákat, töltse fel újra a CSV-t, amíg sikeresen fel nem dolgozik. Az egyes kísérletek állapotadatai 30 napig maradnak. A CSV manuálisan eltávolítható az állapot melletti jelölőnégyzetre kattintva, majd ha szükséges, válassza a Törlés állapotot .

AZ OATH-jogkivonat regisztrációs típusának meghatározása

A felhasználók a mysecurityinfo elérésével vagy a Saját fiók biztonsági adatainakkiválasztásával kezelhetik és hozzáadhatják az OATH-jogkivonat-regisztrációkat. Az egyes ikonok segítségével meg lehet különböztetni, hogy az OATH-jogkivonat-regisztráció hardver- vagy szoftveralapú-e.

Jogkivonat-regisztráció típusa Ikon
OATH szoftverjogkivonat Szoftveres OATH-jogkivonat
OATH hardveres jogkivonat Hardveres OATH-jogkivonat

Következő lépések

További információ a hitelesítési módszerek Microsoft Graph REST API-val történő konfigurálásáról. További információ a jelszó nélküli hitelesítéssel kompatibilis FIDO2 biztonsági kulcsszolgáltatókról.