Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk azt ismerteti, hogyan csatlakozik egy külső többtényezős hitelesítésszolgáltató (MFA) a Microsoft Entra MFA-hoz.
Amikor egy felhasználó bejelentkezik, a rendszer kiértékeli a bérlői szabályzatokat. A hitelesítési követelményeket a felhasználó által elérni kívánt erőforrás alapján határozzák meg.
A bejelentkezésre több szabályzat is vonatkozhat a paraméterektől függően. Ezek a paraméterek közé tartoznak a felhasználók és csoportok, az alkalmazások, a platform, a bejelentkezési kockázati szint stb.
A hitelesítési követelmények alapján előfordulhat, hogy a felhasználónak egy másik tényezővel kell bejelentkeznie az MFA-követelmény teljesítéséhez. A második tényező típusának ki kell egészítenie az első tényező típusát.
A bérlői rendszergazda külső MFA-metódusokat ad hozzá a Microsoft Entra-azonosítóhoz. Ha egy bérlőnek külső MFA-metódusra van szüksége az MFA-hoz, a bejelentkezés megfelel a Microsoft Entra MFA-követelménynek, miután a Microsoft Entra ID mindkettőt ellenőrzi:
- Az első tényező a Microsoft Entra-azonosítóval fejeződött be.
- A második faktor a külső MFA-módszer alkalmazásával került befejezésre.
Ez az ellenőrzés megfelel két vagy több metódustípus MFA-követelményének:
- Valami, amit tud (tudás)
- Valami, amit birtokol (birtoklás)
- Valami, ami ön (öröklött tulajdonság)
A külső MFA-metódusok az OpenID Connect (OIDC) fölé kerülnek. Ehhez a megvalósításhoz legalább három nyilvánosan elérhető végpontra van szükség egy külső MFA-módszer implementálásához:
- OIDC-felderítési végpont a szolgáltató metaadatainak felderítésében leírtak szerint
- Érvényes OIDC-hitelesítési végpont
- A szolgáltató nyilvános tanúsítványait közzétevő URL-cím
A bejelentkezés egy külső MFA-metódussal az alábbiak szerint működik:
A felhasználó megpróbál bejelentkezni egy Microsoft Entra ID által védett alkalmazásba egy első tényezővel, például jelszóval.
A Microsoft Entra ID azt határozza meg, hogy egy másik tényezőnek is teljesülnie kell (például ha egy feltételes hozzáférési szabályzat MFA-t igényel).
A felhasználó a külső MFA metódust választja második tényezőként.
A Microsoft Entra ID átirányítja a felhasználó böngésző munkamenetét a külső MFA-metódus URL-címére.
Ez az URL-cím abból a felderítési URL-címből származik, amelyet a rendszergazda a külső MFA-metódus létrehozásakor hozott létre.
Az alkalmazás egy lejárt vagy majdnem lejárt jogkivonatot biztosít, amely információkat tartalmaz a felhasználó és a bérlő azonosításához.
A külső MFA-szolgáltató ellenőrzi, hogy a jogkivonat a Microsoft Entra-azonosítóból származik-e, és ellenőrzi a jogkivonat tartalmát.
Előfordulhat, hogy a külső MFA-szolgáltató meghívja a Microsoft Graphot a felhasználóval kapcsolatos további információk lekéréséhez.
A külső MFA-szolgáltató minden szükségesnek ítélt műveletet végrehajt, például hitelesítő adatokkal hitelesíti a felhasználót.
A külső MFA-szolgáltató egy érvényes tokennel irányítja vissza a felhasználót a Microsoft Entra ID-hez, beleértve az összes szükséges jogcímet is.
A Microsoft Entra ID ellenőrzi, hogy a jogkivonat aláírása a konfigurált külső MFA-szolgáltatótól származik-e, majd ellenőrzi a jogkivonat tartalmát.
A Microsoft Entra ID ellenőrzi a tokent a követelményekkel szemben.
Ha az ellenőrzés sikeres, az azt jelenti, hogy a felhasználó teljesítette az MFA-követelményt. Előfordulhat, hogy a felhasználónak más szabályzatkövetelményeknek is meg kell felelnie.
Új külső MFA-szolgáltató konfigurálása a Microsoft Entra-azonosítóval
Kiadásához id_token_hint külső MFA-metódusokhoz olyan alkalmazásra van szükség, amely az integrációt képviseli. Az alkalmazást kétféleképpen hozhatja létre:
- Minden olyan bérlőben, amely a külső szolgáltatót használja.
- Mint egy több-bérlős alkalmazás. A bérlő integrációjának engedélyezéséhez a kiemelt szerepkörök rendszergazdáinak hozzájárulást kell adniuk.
A több-bérlős alkalmazások használata csökkentheti az egyes bérlők helytelen konfigurálásának esélyét. A szolgáltatók módosíthatják a metaadatokat (például a válasz URL-címeket egy helyen), ahelyett, hogy minden bérlőtől megkövetelhetik a módosításokat.
Több-bérlős alkalmazás konfigurálásához a szolgáltató rendszergazdájának először a következőket kell tennie:
Hozzon létre egy Microsoft Entra ID-bérleményt (szükség esetén, ha még nem rendelkezik ilyennel).
Regisztráljon egy alkalmazást a bérlői fiókjukban.
Az alkalmazásban a Támogatott fióktípusok csoportban válassza a Bármely szervezeti címtárban (Bármely Microsoft Entra ID-bérlő – Több-bérlő) található Fiókok lehetőséget.
Adja hozzá a Microsoft Graph delegált engedély
openidésprofileértékeit.Ne tegyen közzé hatóköröket ebben az alkalmazásban.
Adja hozzá a külső identitásszolgáltató érvényes
authorization_endpointURL-címeit az alkalmazáshoz válasz URL-címként.Feljegyzés
Az alkalmazásregisztrációban adja hozzá a
authorization_endpointszolgáltató felderítési dokumentumában megadott értéket átirányítási URL-címként. Ellenkező esetben a következő hibaüzenet jelenik meg: "ENTRA IDSTS50161: Nem sikerült ellenőrizni a külső jogcímszolgáltató engedélyezési URL-címét!"
Az alkalmazásregisztrációs folyamat több tulajdonságokkal rendelkező alkalmazást hoz létre. A forgatókönyvünkhöz szüksége lesz ezekre a tulajdonságokra.
| Tulajdonság | Leírás |
|---|---|
| Objektumazonosító | A szolgáltató az objektumazonosítót a Microsoft Graph használatával kérdezheti le az alkalmazás adataiból. A szolgáltató az objektumazonosító használatával programozott módon lekérheti és szerkesztheti az alkalmazás adatait. |
| Pályázat azonosítója | A szolgáltató az alkalmazásazonosítót használhatja az alkalmazás ügyfélazonosítójaként. |
| Kezdőlap URL | A szolgáltató kezdőlapjának URL-címe semmihez nem használható, de az alkalmazás regisztrálásához szüksége van rá. |
| Válasz URL-címek | Érvényes átirányítási URL-címek a szolgáltatóhoz. Az egyiknek meg kell egyeznie a szolgáltató bérlőjének beállított szolgáltatói gazdagép URL-címével. Az egyik regisztrált válasz URL-címnek meg kell egyeznie annak az értéknek az előtagjával, amelyet a authorization_endpoint Microsoft Entra ID az OIDC Discovery használatával kér le a gazdagép URL-címéhez. |
Az integráció támogatásának egy másik érvényes modellje, ha minden bérlőhöz használ egy alkalmazást. Ha egybérlős regisztrációt használ, a bérlői rendszergazdának létre kell hoznia egy alkalmazásregisztrációt az előző táblázatban szereplő tulajdonságokkal egy egybérlős alkalmazáshoz.
Feljegyzés
Rendszergazdai hozzájárulásra van szüksége a külső MFA-módszert használó bérlői alkalmazáshoz. Ha nem ad hozzájárulást, a következő hibaüzenet jelenik meg, amikor egy rendszergazda megpróbálja használni a külső MFA-módszert: "AADSTS900491: Szolgáltatásnév <az alkalmazásazonosítója> nem található."
Nem kötelező jogcímek konfigurálása
A szolgáltató további jogcímeket konfigurálhat opcionális jogcímek használatával.id_token
Feljegyzés
Az alkalmazás létrehozásának módjától függetlenül a szolgáltatónak konfigurálnia kell az egyes felhőkörnyezetekhez tartozó opcionális jogcímeket. Ha több-bérlős alkalmazást használnak a globális Azure-hoz és az Azure for US Governmenthez, minden felhőkörnyezethez más alkalmazás- és alkalmazásazonosító szükséges.
Külső MFA-metódus hozzáadása a Microsoft Entra-azonosítóhoz
A külső identitásszolgáltató adatait a rendszer az egyes bérlők hitelesítési metódusszabályzatában tárolja. A szolgáltató adatait a rendszer a típus externalAuthenticationMethodConfigurationhitelesítési módszereként tárolja.
Minden szolgáltató egy bejegyzéssel rendelkezik a szabályzat listaobjektumában. Minden bejegyzésnek a következőt kell tartalmaznia:
- Ha a metódus engedélyezve van.
- A metódust használó belefoglalt csoportok.
- A metódust nem használó kizárt csoportok.
A felhasználói bejelentkezés MFA-követelményének beállításához a feltételes hozzáférési rendszergazdai szerepkörrel rendelkező felhasználók létrehozhatnak egy szabályzatot az MFA-támogatás megkövetelése mellett. A külső MFA-metódusok jelenleg nem támogatottak a hitelesítési erősségekkel.
További információ arról , hogyan vehet fel külső MFA-metódust a Microsoft Entra felügyeleti központban.
A Microsoft Entra ID és a szolgáltató közötti interakció
A következő szakaszok ismertetik a szolgáltatói követelményeket, és példákat is tartalmaznak arra, hogyan kommunikál a Microsoft Entra ID egy szolgáltatóval.
Szolgáltatói metaadatok felderítése
Egy külső identitásszolgáltatónak biztosítania kell egy OIDC Discovery-végpontot. Ez a végpont további konfigurációs adatok lekérésére szolgál.
A felderítési URL-címnek a sémát https kell használnia, és a következővel kell végződnie /.well-known/openid-configuration: . A szegmens után nem vehet fel további elérésiút-szegmenseket, lekérdezési sztringeket vagy töredékeket. A teljes felderítési URL-címet tartalmaznia kell a külső MFA-metódus létrehozásakor konfigurált felderítési URL-címnek.
A végpont egy ott üzemeltetett szolgáltatói metaadat-JSON-dokumentumot ad vissza. A végpontnak érvényes tartalomhosszú fejlécet is vissza kell adnia. A metaadat-dokumentumnak meg kell felelnie az OpenID Connect Discovery 1.0-nak (a 2. hibakészlettel együtt), és tartalmaznia kell az összes szükséges OIDC metaadatmezőt.
A szolgáltató metaadatainak tartalmazniuk kell az alábbi táblázatban felsorolt adatokat. Ezek az értékek szükségesek ehhez a bővíthetőségi forgatókönyvhöz. A JSON-metaadat-dokumentum további információkat tartalmazhat.
A szolgáltatói metaadatok értékeit tartalmazó OIDC-dokumentum esetében lásd a Szolgáltató metaadatait.
| Metaadatok értéke | Érték | Megjegyzések |
|---|---|---|
Issuer |
HTTPS URL-címnek kell lennie. A kiállító értékének meg kell egyeznie a konfigurált kiállító karakteres karakterével, a felderítési dokumentum kiállítói értékével és a iss szolgáltató szolgáltatása által kibocsátott jogkivonatokban szereplő jogcímekkel.A kiállító tartalmazhat port- vagy elérésiút-szegmenst, de nem tartalmazhat lekérdezési paramétereket vagy töredékazonosítókat. |
|
authorization_endpoint |
Az a végpont, amellyel a Microsoft Entra ID kommunikál engedélyezés céljából. Ennek a végpontnak az engedélyezett alkalmazások válasz URL-címeinek egyikeként kell jelen lennie. | |
jwks_uri |
Az a hely, ahol a Microsoft Entra ID megtalálja a szolgáltató által kiadott aláírások ellenőrzéséhez szükséges nyilvános kulcsokat. A jwks_uri végpontnak HTTPS-végpontnak kell lennie, és nem tartalmazhat lekérdezési paramétereket vagy töredékazonosítókat.A JSON Web Key (JWK) x5c paraméternek jelen kell lennie a megadott kulcsok X.509-ábrázolásához. |
|
scopes_supported |
openid |
Előfordulhat, hogy más értékek is szerepelnek benne, de nem kötelezőek. |
response_types_supported |
id_token |
Előfordulhat, hogy más értékek is szerepelnek benne, de nem kötelezőek. |
subject_types_supported |
||
id_token_signing_alg_values_supported |
A Microsoft támogatja az RS256-ot. | |
claim_types_supported |
normal |
Ez a tulajdonság nem kötelező, de ha van ilyen, akkor az normal értéket is tartalmaznia kell. Más értékek is belefoglalhatók. |
https://customcaserver.azurewebsites.net/v2.0/.well-known/openid-configuration
{
"authorization_endpoint": "https://customcaserver.azurewebsites.net/api/Authorize",
"claims_supported": [
"email"
],
"grant_types_supported": [
"implicit"
],
"id_token_signing_alg_values_supported": [
"RS256"
],
"issuer": "https://customcaserver.azurewebsites.net/v2.0",
"jwks_uri": "https://customcaserver.azurewebsites.net/.well-known/jwks",
"response_modes_supported": [
"form_post"
],
"response_types_supported": [
"id_token"
],
"scopes_supported": [
"openid"
],
"SigningKeys": [],
"subject_types_supported": [
"public"
]
}
https://customcaserver.azurewebsites.net/.well-known/jwks
{
"keys": [
{
"kty": "RSA",
"use": "sig",
"kid": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"x5t": "A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u",
"n": "jq277LRoE6WKM0awT3b...vt8J6MZvmgboVB9S5CMQ",
"e": "AQAB",
"x5c": [
"cZa3jz...Wo0rzA="
]
}
]
}
Feljegyzés
A JWK x5c paraméternek jelen kell lennie a megadott kulcsok X.509-ábrázolásához.
Felderítési URL-címek és kiállítói példák
Az alábbi példák az integráció érvényes és érvénytelen felderítési URL-címét és kiállítói kombinációit szemléltetik.
Érvényes felderítési URL-cím és kiállítópárok
- Felderítési URL-cím:
https://example.com/.well-known/openid-configuration
Kibocsátó:https://example.com - Felderítési URL-cím:
https://example.com:8443/.well-known/openid-configuration
Kibocsátó:https://example.com:8443 - Felderítési URL-cím:
https://example.com/tenant1/.well-known/openid-configuration
Kibocsátó:https://example.com/tenant1
Érvénytelen felfedezési URL-cím és kibocsátó példák
- Felderítési URL-cím:
https://example.com/.well-known/openid-configuration
Kiállító:https://example.com:443/(A kiállító esetén kifejezetten hozzáadott alapértelmezett HTTPS-port.) - Felderítési URL-cím:
https://example.com:443/.well-known/openid-configuration
Kiállító:https://example.com/(Porteltérés.) - Felderítési URL-cím:
https://example.com/.well-known/openid-configuration?client_id=0oasxuxkghOniBjlQ697
Kiállító:https://example.com(Nem helyezhet el lekérdezési kifejezést egy felderítési URL-címben.)
Szolgáltató metaadatainak gyorsítótárazása
A teljesítmény javítása érdekében a Microsoft Entra ID gyorsítótárazza a szolgáltató által visszaadott metaadatokat, beleértve a kulcsokat is. A szolgáltató metaadatainak gyorsítótárazása megakadályozza a felderítési hívásokat minden alkalommal, amikor a Microsoft Entra ID kommunikál egy külső identitásszolgáltatóval.
Ez a gyorsítótár 24 óránként frissül. Javasoljuk, hogy a szolgáltatók az alábbi lépéseket követve léptethessék át a kulcsaikat:
- Tegye közzé a meglévő tanúsítványt és az új tanúsítványt a következőben
jwks_uri: . - Jelentkezzen be a meglévő tanúsítvánnyal, amíg a Microsoft Entra ID gyorsítótára frissül, lejár, vagy frissítve lesz 2 naponta.
- Váltás a New Cert használatával való bejelentkezésre.
A kulcsátállítások ütemezését nem tesszük közzé. A függő szolgáltatásnak készen kell állnia az azonnali és az időszakos átállások kezelésére. Javasoljuk, hogy használjon erre a célra létrehozott dedikált könyvtárat, például azure-activedirectory-identitymodel-extensions-for-dotnet. További információért lásd: Aláírókulcs-csere a Microsoft Entra ID-ben.
A Microsoft Entra ID metaadatainak felderítése
A szolgáltatóknak le kell kérnie a Microsoft Entra ID nyilvános kulcsait is a Microsoft Entra ID által kibocsátott jogkivonatok érvényesítéséhez.
Microsoft Entra ID metaadatok felderítési végpontjai:
- Globális Azure:
https://login.microsoftonline.com/common/v2.0/.well-known/openid-configuration - Azure az Egyesült Államok kormánya számára:
https://login.microsoftonline.us/common/v2.0/.well-known/openid-configuration - A 21Vianet által üzemeltetett Microsoft Azure:
https://login.partner.microsoftonline.cn/common/v2.0/.well-known/openid-configuration
A jogkivonat nyilvános kulcsazonosítóját (a JSON Web Signature (JWS) "gyermek" azonosítóját) használva meghatározhatja, hogy a jwks_uri tulajdonságból lekért kulcsok közül melyiket kell használni a Microsoft Entra-azonosító jogkivonat aláírásának érvényesítéséhez.
A Microsoft Entra ID által kibocsátott jogkivonatok érvényesítése
A Microsoft Entra ID által kibocsátott jogkivonatok érvényesítéséről további információt az Azonosító jogkivonat érvényesítése című témakörben talál. Nincsenek speciális lépések a felderítési metaadatok felhasználói számára.
A jogkivonat-érvényesítéssel kapcsolatos összes részletet a Microsoft jogkivonat-érvényesítési kódtárában találja. Ezeket a részleteket a forráskód böngészésével is megállapíthatja. A mintaért tekintse meg az Azure-mintákat.
Az ellenőrzés sikeres befejezését követően a jogosultsági adathalmazzal dolgozva megszerezheti a felhasználó és az ő bérlőjének részleteit.
Feljegyzés
Fontos ellenőrizni az id_token_hint értéket annak biztosítása érdekében, hogy egy Microsoft-bérlőtől származik, és az integrációt jelképezi. Az id_token_hint értéket teljes mértékben ellenőrizni kell, különösen az aláírást, a kiállítót, a célközönséget és az egyéb jogcímértékeket.
Microsoft Entra ID-hívás a külső identitásszolgáltatóhoz
A Microsoft Entra ID az OIDC implicit folyamat használatával kommunikál a külső identitásszolgáltatóval. A folyamat használatakor a szolgáltatóval folytatott kommunikáció csak a szolgáltató engedélyezési végpontjának használatával történik.
Ha tájékoztatni szeretné a szolgáltatót arról a felhasználóról, akinek a Microsoft Entra ID a kérést küldi, a Microsoft Entra ID egy jogkivonatot ad át a id_token_hint paraméteren keresztül.
Ez a hívás egy POST kérésen keresztül történik, mert a paraméterek nagy listája továbbítódik a szolgáltatónak. A nagy lista megakadályozza a kérések hosszát GET korlátozó böngészők használatát.
A hitelesítési kérelem paramétereit az alábbi táblázat sorolja fel.
Feljegyzés
A szolgáltatónak figyelmen kívül kell hagynia a kérés többi paraméterét, kivéve, ha az alábbi táblázatban szerepelnek.
| Hitelesítési lekérdezési paraméter | Érték | Leírás |
|---|---|---|
scope |
openid |
|
response_type |
Id_token |
Az implicit folyamathoz használt érték. |
response_mode |
form_post |
Az űrlap POST használatával elkerülhetjük a nagy URL-címekkel kapcsolatos problémákat. Azt várjuk, hogy az összes paraméter a kérelem törzsében lesz elküldve. |
client_id |
A külső identitásszolgáltató által a Microsoft Entra ID-nak adott ügyfél-azonosító, például ABCD. További információ: Külső MFA-metódus leírása. |
|
redirect_uri |
Az átirányítási egységes erőforrás-azonosító (URI), amelyre a külső identitásszolgáltató elküldi a választ (id_token_hint). Tekintse meg a táblázat utáni példát . |
|
nonce |
A Microsoft Entra ID által létrehozott véletlenszerű karaktersorozat. Ez lehet a munkamenet azonosítója. Ha meg van adva, azt vissza kell adni a Microsoft Entra-azonosítóra adott válaszban. | |
state |
Ha a szolgáltatónak paraméterként van megadva, akkor a válaszában vissza kell térnie a state értékkel. A Microsoft Entra ID a hívás kontextusának megőrzésére szolgál state . |
|
id_token_hint |
Egy jogkivonat, amelyet a Microsoft Entra ID a felhasználó számára kibocsát, és a szolgáltató javára továbbít. | |
claims |
A kért jogcímeket tartalmazó JSON-fájl. A paraméter formátumával kapcsolatos részletekért tekintse meg az OIDC dokumentációjának jogcímkérelmezési paraméterét , valamint a táblázat utáni példát . | |
client-request-id |
GUID-érték | A szolgáltató naplózhatja ezt az értéket a problémák elhárításához. |
Példa átirányítási URI-ra
Az átirányítási URI-kat sávon kívül kell regisztrálni a szolgáltatónál. A küldhető átirányítási URI-k a következők:
- Globális Azure:
https://login.microsoftonline.com/common/federation/externalauthprovider - Azure az Egyesült Államok kormánya számára:
https://login.microsoftonline.us/common/federation/externalauthprovider - A 21Vianet által üzemeltetett Microsoft Azure:
https://login.partner.microsoftonline.cn/common/federation/externalauthprovider
Példa egy olyan külső MFA-metódusra, amely megfelel az MFA-nak
Íme egy példa arra, hogy egy külső MFA-metódus megfelel-e az MFA követelményeinek. Ez a példa segít a szolgáltatónak megtudni, hogy milyen jogcímekre számít a Microsoft Entra ID.
A Microsoft Entra ID a acr és a amr értékek kombinációját használja annak ellenőrzésére, hogy:
- A második tényezőhöz használt hitelesítési módszer megfelel az MFA-követelménynek.
- A hitelesítési módszer más típusú , mint a Microsoft Entra-azonosítóba való bejelentkezés első tényezőjének elvégzéséhez használt módszer.
{
"id_token": {
"acr": {
"essential": true,
"values":["possessionorinherence"]
},
"amr": {
"essential": true,
"values": ["face", "fido", "fpt", "hwk", "iris", "otp", "pop", "retina", "sc", "sms", "swk", "tel", "vbm"]
}
}
}
Alapértelmezett id_token_hint állítások
Ez a szakasz ismerteti a token szükséges tartalmát, amelyet a szolgáltatónak küldött kérésben id_token_hint formában adnak át. A jogkivonat több jogcímet tartalmazhat, mint az alábbi táblázatban látható.
| Igény | Érték | Leírás |
|---|---|---|
iss |
Azonosítja a jogkivonatot összeállító és visszaadó biztonsági jogkivonat-szolgáltatást (STS), valamint azt a Microsoft Entra-azonosító bérlőt, amelyben a felhasználó hitelesített. Az alkalmazásnak a jogcím GUID-részét kell használnia az alkalmazásba bejelentkezni képes bérlők halmazának korlátozására, ha vannak ilyenek. A kiállítónak meg kell egyeznie a kiállító URL-jével az OIDC Discovery JSON metaadataiból annak a bérlőnek, ahol a felhasználó bejelentkezett. |
|
aud |
A célközönséget a Microsoft Entra ID külső identitásszolgáltatójának ügyfélazonosítójára kell beállítani. | |
exp |
A lejárati idő úgy van beállítva, hogy a kiadási idő után rövid időre lejárjon, ami elegendő az időeltérés-problémák elkerüléséhez. Mivel ez a jogkivonat nem hitelesítésre szolgál, nincs ok arra, hogy érvényessége jelentősen meghaladja a kérés időtartamát. | |
iat |
Adja meg a kiadási időt a szokásos módon. | |
tid |
A bérlőazonosító a bérlő szolgáltatónak való hirdetésére szolgál. Ez azt a Microsoft Entra-azonosító bérlőt jelöli, amelyből a felhasználó származik. | |
oid |
A Microsoft Identitásplatform egy objektumának változatlan azonosítója. Ebben az esetben ez egy felhasználói fiók. Az engedélyezési ellenőrzések biztonságos végrehajtására is használható, és kulcsként az adatbázistáblákban. Ez az azonosító egyedileg azonosítja a felhasználót az alkalmazások között. Két különböző alkalmazás, amelyek ugyanabban a felhasználóban jelentkeznek be, ugyanazt az értéket kapják a oid jogcímben. Így a oid jogcím használható a Microsoft online szolgáltatásainak, például a Microsoft Graphnak küldött lekérdezésekben. |
|
preferred_username |
Egy emberi olvasásra alkalmas értéket biztosít, amely azonosítja a token tárgyát. Ez az érték nem garantáltan egyedi a bérlőn belül, és csak megjelenítési célokra szolgál. | |
sub |
Felhasználói azonosító a kibocsátónál. Az a szereplő, amelyről a token állít információkat, például egy alkalmazás felhasználója. Ez az érték nem módosítható, és nem rendelhető újra és nem használható újra. Az engedélyezési ellenőrzések biztonságos végrehajtására használható, például amikor a jogkivonatot egy erőforrás eléréséhez használják. Kulcsként használható adatbázistáblákban. Mivel az alany mindig megtalálható a Microsoft Entra ID által kiadott jogkivonatokban, javasoljuk, hogy használja ezt az értéket egy általános célú engedélyezési rendszerben. Az azonosító azonban páronként egyedi, és csak egy adott alkalmazásazonosítóhoz tartozik. Ezért ha egy felhasználó két különböző ügyfélazonosítóval jelentkezik be két különböző alkalmazásba, akkor ezek az alkalmazások két különböző értéket kapnak a tulajdonosi jogcímhez. Attól függően, hogy mi az architektúra és az adatvédelmi követelményei, lehet, hogy szeretné ezt az eredményt, vagy lehet, hogy nem. Lásd még a oid hivatkozást (amely nem változik az adott bérlőn belüli alkalmazások között). |
Annak érdekében, hogy a jogkivonatot csak célzott utasításként lehessen használni, már lejárt állapotban kerül kiadásra. A token aláírásra került, és a közzétett Microsoft Entra ID felderítési metaadatokkal ellenőrizhető.
Választható jogcímek Microsoft Entra ID-hoz
Ha egy szolgáltatónak a Microsoft Entra ID-ból opcionális jogosultságokra van szüksége, az alábbi választható jogosultságokat konfigurálhatja: id_token, given_name, family_name, preferred_username, upn. További információ: Választható jogcímek.
Az igények ajánlott használata
Javasoljuk, hogy a szolgáltatói oldalon lévő fiókokat társítsa az Azure-fiókhoz a oid és tid jogcímek használatával. Ezek a két jogcím garantáltan egyedi a fiókhoz tartozó bérlői környezetben.
Példa az id_token_hint
Íme egy példa id_token_hint egy címtártagra:
{
"typ": "JWT",
"alg": "RS256",
"kid": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1w"
}.{
"ver": "2.0",
"iss": "https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/v2.0",
"sub": "mBfcvuhSHkDWVgV72x2ruIYdSsPSvcj2R0qfc6mGEAA",
"aud": "00001111-aaaa-2222-bbbb-3333cccc4444",
"exp": 1536093790,
"iat": 1536093791,
"nbf": 1536093791,
"name": "Test User 2",
"preferred_username": "testuser2@contoso.com"
"oid": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"tid": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}.
Íme egy példa id_token_hint egy vendégfelhasználóra a bérlőben:
{
"typ": "JWT",
"alg": "RS256",
"kid": "C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1w"
}.{
"ver": "2.0",
"iss": "https://login.microsoftonline.com/9122040d-6c67-4c5b-b112-36a304b66dad/v2.0",
"sub": "mBfcvuhSHkDWVgV72x2ruIYdSsPSvcj2R0qfc6mGEAA",
"aud": "00001111-aaaa-2222-bbbb-3333cccc4444",
"exp": 1536093790,
"iat": 1536093791,
"nbf": 1536093791,
"name": "External Test User (Hotmail)",
"preferred_username": "externaltestuser@hotmail.com",
"oid": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"tid": "aaaabbbb-0000-cccc-1111-dddd2222eeee"
}.
Javasolt műveletek külső identitásszolgáltatók számára
Javasoljuk, hogy a külső identitásszolgáltatók fejezze be az alábbi elemeket. A lista nem teljes, és a szolgáltatóknak más ellenőrzési lépéseket is kellene végrehajtaniuk, ahogy azt megfelelőnek látják.
A kérelemből:
- Győződjön meg arról, hogy a
redirect_urikülső identitásszolgáltatónak a Microsoft Entra ID-hívásában leírtak szerint van közzétéve. - Győződjön meg arról, hogy a konfigurált felderítési URL HTTPS-t használ, és a következő végződésű lesz
/.well-known/openid-configuration: . Győződjön meg arról is, hogy nem tartalmaz lekérdezési paramétereket vagy töredékazonosítókat. Győződjön meg arról, hogy a kiállító értéke pontosan egyezik a felderítési dokumentuméval. - Győződjön meg arról, hogy az
client_idérték a Microsoft Entra-azonosítóhoz van hozzárendelve, példáulABCD. - A szolgáltatónak először ellenőriznie kell a
id_token_hint, amelyet a Microsoft Entra ID bemutat neki.
- Győződjön meg arról, hogy a
A következő jogcímekből
id_token_hint:- (Nem kötelező) Hívja fel a Microsoft Graphot a felhasználóval kapcsolatos további adatok lekéréséhez. A
oidéstidállítások aid_token_hinttekintetében hasznosak. A megadottid_token_hintjogcímekkel kapcsolatos részletekért lásd: Alapértelmezettid_token_hintjogcímek.
- (Nem kötelező) Hívja fel a Microsoft Graphot a felhasználóval kapcsolatos további adatok lekéréséhez. A
Végezze el a szolgáltató termékére vonatkozó egyéb hitelesítési tevékenységeket.
A felhasználó műveleteinek eredményétől és egyéb tényezőktől függően a szolgáltató ezután a következő szakaszban ismertetett módon létrehoz és visszaküld egy választ a Microsoft Entra-azonosítónak.
A szolgáltatói válasz Microsoft Entra-azonosítójának feldolgozása
A szolgáltatónak a választ vissza kell küldenie a POST segítségével a redirect_uri számára. A sikeres válaszhoz a következő paramétereket kell megadni:
| Paraméter | Érték | Leírás |
|---|---|---|
id_token |
A külső identitásszolgáltató által kibocsátott jogkivonat. | |
state |
A kérelemben átadott állapot, ha van ilyen. Ellenkező esetben ez az érték nem lehet jelen. |
Sikeresség esetén a szolgáltató ekkor kibocsát egy id_token értéket a felhasználó számára. A Microsoft Entra ID a közzétett OIDC-metaadatokkal ellenőrzi, hogy a jogkivonat tartalmazza-e a várt jogcímeket, és elvégzi az OIDC által igényelt egyéb jogkivonat-ellenőrzést.
| Igény | Érték | Leírás |
|---|---|---|
iss |
Kiállító: meg kell egyeznie a szolgáltató felderítési metaadataiból származó kiállítóval. | |
aud |
Célközönség: a Microsoft Entra ID ügyfél-azonosító. Lásd client_id : Microsoft Entra ID-hívás a külső identitásszolgáltatóhoz. |
|
exp |
Lejárati idő: a szokásos módon van beállítva. | |
iat |
Kiadási idő: a szokásos módon beállítva. | |
sub |
Tárgy: meg kell egyeznie az id_token_hint-ben szereplő 'sub' értékkel a kérés indításához. | |
nonce |
Ugyanaz nonce az érték, mint amit a kérésben átadtak. |
|
acr |
A acr hitelesítési kérelem jogcíme. Ennek az értéknek meg kell egyeznie a kérés indításához küldött kérés egyik értékével. Csak egy acr jogcímet kell visszaadni. A jogcímek listáját a Támogatott acr jogcímek című témakörben találja. |
|
amr |
A amr használt hitelesítési módszer jogcíme. Ezt az értéket tömbként kell visszaadni, és csak egy metóduskövetkeztetés adható vissza. A jogcímek listáját a Támogatott amr jogcímek című témakörben találja. |
Támogatott ACR-jogcímek
| Igény | Jegyzetek |
|---|---|
possessionorinherence |
A hitelesítésnek birtokláson vagy megőrzésen alapuló tényezőt kell használnia. |
knowledgeorpossession |
A hitelesítésnek tudáson vagy birtokláson alapuló tényezőt kell használnia. |
knowledgeorinherence |
A hitelesítésnek tudáson vagy megőrzésen alapuló tényezőt kell használnia. |
knowledgeorpossessionorinherence |
A hitelesítésnek tudáson, birtokláson vagy megőrzésen alapuló tényezőt kell használnia. |
knowledge |
A hitelesítésnek tudásalapú tényezőt kell használnia. |
possession |
A hitelesítésnek birtoklásalapú tényezőt kell használnia. |
inherence |
A hitelesítésnek egy inherencia-alapú tényezőt kell alkalmaznia. |
Támogatott amr-jogosultságok
| Igény | Jegyzetek |
|---|---|
face |
Biometrikus arcfelismeréssel |
fido |
FIDO2 használatban |
fpt |
Ujjlenyomatos biometria |
hwk |
Hardveresen védett kulcs birtoklásának igazolása |
iris |
Biometrikus íriszvizsgálattal |
otp |
Egyszeri jelszó |
pop |
Birtoklási igazolás |
retina |
A retina biometrikus szkennelése |
sc |
Intelligens kártya |
sms |
Megerősítés szövegesen a regisztrált számra |
swk |
Szoftveresen védett kulcs jelenlétének megerősítése |
tel |
Visszaigazolás telefonon |
vbm |
Biometrikus azonosítás hanglenyomattal |
A Microsoft Entra ID megköveteli, hogy az MFA követelmények teljesüljenek az MFA-jogcímekkel rendelkező jogkivonat kiadásához. Ennek eredményeképpen csak az eltérő típusú metódusok képesek megfelelni a második tényezőre vonatkozó követelménynek. Ahogy korábban említettük, a második tényező kielégítésére használható különböző metódustípusok a tudás, a birtoklás és a megőrzés.
A Microsoft Entra ID az alábbi táblázat alapján ellenőrzi a típusleképezést.
| Jogcímmetódus | Típus | Jegyzetek |
|---|---|---|
face |
Belső tulajdonság | Biometrikus arcfelismeréssel. |
fido |
Birtoklás | FIDO2 használatban. Egyes implementációkhoz biometrikus is szükséges lehet, de a birtoklási módszer típusa le van képezve, mert ez az elsődleges biztonsági attribútum. |
fpt |
Belső tulajdonság | Ujjlenyomat-azonosítás. |
hwk |
Birtoklás | Hardveresen védett kulcs birtoklásának igazolása. |
iris |
Belső tulajdonság | Biometrikus írisz vizsgálattal. |
otp |
Birtoklás | Egyszeri jelszó. |
pop |
Birtoklás | A birtoklás igazolása. |
retina |
Belső tulajdonság | Retina biometrikus vizsgálat. |
sc |
Birtoklás | Intelligenskártya. |
sms |
Birtoklás | Megerősítés szövegesen egy regisztrált számra. |
swk |
Birtoklás | Szoftveresen védett kulcs meglétének igazolása. |
tel |
Birtoklás | Visszaigazolás telefonon. |
vbm |
Belső tulajdonság | Biometrikus azonosítás hanglenyomattal. |
A Microsoft Entra ID teljesítettnek tartja az MFA-t, ha nem merül fel probléma a tokennel, és tokent ad ki a felhasználónak. Ellenkező esetben a felhasználó kérése meghiúsul.
A hibát hibaválasz-paraméterek kibocsátása jelzi.
| Paraméter | Érték | Leírás |
|---|---|---|
| Hiba | ASCII-hibakód, például access_denied vagy temporarily_unavailable |
A Microsoft Entra ID sikeresnek tartja a kérést, ha id_token parameter jelen van a válaszban, és ha a jogkivonat érvényes. Ellenkező esetben a kérés sikertelennek minősül. A Microsoft Entra ID a feltételes hozzáférési szabályzat követelménye miatt meghiúsul az eredeti hitelesítési kísérletben.
A Microsoft Entra ID a szolgáltatóra való átirányítást követően körülbelül 5 perccel megszünteti a hitelesítési kísérlet állapotát.
Microsoft Entra ID hibaválasz kezelése
A Microsoft Azure-szolgáltatások értéket használnak correlationId a hívások különböző belső és külső rendszerek közötti korrelációja érdekében. A teljes művelet vagy folyamat közös azonosítója, amely több HTTP-hívást is magában foglalhat. Ha bármely művelet során hiba történik, a válasz tartalmaz egy Korrelációs azonosító nevű mezőt.
Amikor kapcsolatba lép a Microsoft ügyfélszolgálatával vagy egy hasonló szolgáltatással, adja meg a korrelációs azonosító értékét. Segít gyorsabban hozzáférni a telemetriához és a naplókhoz.
Példa:
ENTRA IDSTS70002: Error validating credentials. ENTRA IDSTS50012: External ID token from issuer 'https://sts.XXXXXXXXX.com/auth/realms/XXXXXXXXXmfa' failed signature verification. KeyID of token is 'A1bC2dE3fH4iJ5kL6mN7oP8qR9sT0u'
Trace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333
Correlation ID: aaaa0000-bb11-2222-33cc-444444dddddd
Timestamp: 2023-07-24 16:51:34Z
Egyéni vezérlők és külső MFA-metódusok
A Microsoft Entra ID-ban a külső MFA-metódusok és a feltételes hozzáférés egyéni vezérlői párhuzamosan működhetnek, miközben az ügyfelek felkészülnek a külső MFA-metódusokra, és migrálnak.
Azok az ügyfelek, akik jelenleg egyéni vezérlők használatával integrálást használnak egy külső szolgáltatóval, továbbra is használhatják őket, valamint a hozzáférés kezeléséhez konfigurált feltételes hozzáférési szabályzatokat. Javasoljuk, hogy a rendszergazdák a migrálási időszak alatt hozzanak létre párhuzamos feltételes hozzáférési szabályzatokat:
A szabályzatok az egyéni vezérlőelem-engedélyezés helyett a Többtényezős hitelesítés használata engedélyezési vezérlőt használják.
Feljegyzés
A külső MFA-módszer nem felel meg a hitelesítési erősségeken alapuló hozzáférési szabályoknak, beleértve a rendszerbe épített MFA erősséget is. A szabályzatok csak többtényezős hitelesítés megkövetelése mellett konfigurálhatók.
Az új szabályzat először a felhasználók egy részhalmazával tesztelhető. A tesztcsoport ki van zárva az egyéni vezérlőket igénylő szabályzatból, és szerepel az MFA-t igénylő szabályzatban. Ha a rendszergazda jól érzi magát abban, hogy az MFA-t igénylő szabályzatot a külső MFA-módszer kielégíti, a rendszergazda az MFA-támogatással minden szükséges felhasználót belefoglalhat a szabályzatba. Az egyéni vezérlőkhöz konfigurált szabályzat áthelyezhető a Ki beállításra.
Integrációs támogatás
Ha problémákat tapasztal a Microsoft Entra ID-val való külső MFA-metódusintegráció létrehozásakor, a Microsoft Customer Experience Engineering (CxE) független megoldásszállító (ISV) segíthet. A CxE ISV-csapattal való kapcsolattartáshoz nyújtson be egy segélykérést.
Hivatkozások
Szószedet
| Időszak | Leírás |
|---|---|
| MFA | Többtényezős hitelesítés. |
| Külső MFA metódus | A felhasználó hitelesítése során használt, a Microsoft Entra-azonosítótól eltérő szolgáltatótól származó hitelesítési módszer. |
| OIDC | Az OpenID Connect egy OAuth 2.0-n alapuló hitelesítési protokoll. |
00001111-aaaa-2222-bbbb-3333cccc4444 |
Példa egy appid külső MFA-metódushoz integrált értékre. |
Kapcsolódó tartalom
- A külső MFA-metódus Microsoft Entra felügyeleti központban való konfigurálásáról további információt a Külső MFA-metódus kezelése a Microsoftban című témakörben talál.