Külső hitelesítési módszer kezelése a Microsoft Entra-azonosítóban (előzetes verzió)
A külső hitelesítési módszer (EAM) lehetővé teszi, hogy a felhasználók egy külső szolgáltatót válasszanak, amely megfelel a többtényezős hitelesítés (MFA) követelményeinek, amikor bejelentkeznek a Microsoft Entra-azonosítóba. Az EAM megfelelhet a feltételes hozzáférési szabályzatok MFA-követelményeinek, Microsoft Entra ID-védelem kockázatalapú feltételes hozzáférési szabályzatoknak, a Privileged Identity Management (PIM) aktiválásának, valamint ha az alkalmazásnak MFA-ra van szüksége.
Az EAM-k abban különböznek az összevonástól, hogy a felhasználói identitás a Microsoft Entra ID-ban származik és kezelhető. Összevonás esetén az identitás kezelése a külső identitásszolgáltatóban történik. Az EAM-ekhez legalább Egy Microsoft Entra ID P1 licenc szükséges.
Az EAM konfigurálásához szükséges metaadatok
EAM létrehozásához a következő információkra van szüksége a külső hitelesítésszolgáltatótól:
Az alkalmazásazonosító általában a szolgáltatótól származó több-bérlős alkalmazás, amelyet az integráció részeként használnak. Ehhez az alkalmazáshoz rendszergazdai hozzájárulást kell adnia a bérlőjében.
Az ügyfél-azonosító a szolgáltatótól származó azonosító, amelyet a hitelesítési integráció részeként használnak a hitelesítést kérő Microsoft Entra-azonosító azonosítására.
A felderítési URL-cím a külső hitelesítésszolgáltató OpenID Connect (OIDC) felderítési végpontja.
Feljegyzés
Lásd: Új külső hitelesítésszolgáltató konfigurálása a Microsoft Entra-azonosítóval az alkalmazásregisztráció beállításához.
Fontos
Győződjön meg arról, hogy a kulcsazonosító (kid) tulajdonság Base64 kódolva van az id_token JWT fejlécében és a szolgáltató jwks_uri által lekért JSON Web Key Set (JWKS) is. Ez a kódolási igazítás elengedhetetlen a jogkivonat-aláírások zökkenőmentes érvényesítéséhez a hitelesítési folyamatok során. A nem megfelelő megoldás problémákat okozhat a kulcsegyeztetéssel vagy az aláírás-ellenőrzéssel kapcsolatban.
EAM kezelése a Microsoft Entra Felügyeleti központban
Az EAM-eket a Microsoft Entra ID Authentication metódusszabályzata kezeli, csakúgy, mint a beépített metódusok.
EAM létrehozása a Felügyeleti központban
Mielőtt létrehoz egy EAM-et a felügyeleti központban, győződjön meg arról, hogy rendelkezik a metaadatokkal az EAM konfigurálásához.
Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.
Keresse meg a >>: Külső metódus hozzáadása (előzetes verzió).
Adjon hozzá metódustulajdonságokat a szolgáltató konfigurációs adatai alapján. Példa:
- Név: Adatum
- Ügyfélazonosító: 00001111-aaaa-2222-bbbb-3333cccc4444
- Felderítési végpont:
https://adatum.com/.well-known/openid-configuration
- Alkalmazásazonosító: 11112222-bbbb-3333-cccc-4444dddddd5555
Fontos
A megjelenítendő név az a név, amelyet a felhasználó a metódusválasztóban jelenít meg. A metódus létrehozása után nem módosítható. A megjelenített neveknek egyedinek kell lenniük.
Legalább a kiemelt szerepkör-rendszergazdai szerepkörre van szüksége ahhoz, hogy rendszergazdai hozzájárulást adjon a szolgáltató alkalmazásához. Ha nem rendelkezik a hozzájárulás megadásához szükséges szerepkörével, akkor is mentheti a hitelesítési módszert, de csak a hozzájárulás megadásáig engedélyezheti.
Miután megadta az értékeket a szolgáltatótól, nyomja le a gombot, hogy rendszergazdai hozzájárulást kérjen az alkalmazáshoz, hogy a felhasználó megfelelően tudja olvasni a hitelesítéshez szükséges adatokat. A rendszer arra kéri, hogy jelentkezzen be rendszergazdai engedélyekkel rendelkező fiókkal, és adja meg a szolgáltató alkalmazásának a szükséges engedélyeket.
Bejelentkezés után kattintson az Elfogadás gombra a rendszergazdai hozzájárulás megadásához:
A hozzájárulás megadása előtt megtekintheti a szolgáltatói alkalmazás által kért engedélyeket. Miután megadta a rendszergazdai hozzájárulást, és a módosítás replikálódik, a lap frissül, hogy megjelenjen a rendszergazdai hozzájárulás megadása.
Ha az alkalmazás rendelkezik engedélyekkel, a mentés előtt engedélyezheti a metódust is. Ellenkező esetben a metódust letiltott állapotban kell mentenie, és engedélyeznie kell az alkalmazás hozzájárulásának megadása után.
Ha a metódus engedélyezve van, a hatókörben lévő összes felhasználó kiválaszthatja az MFA-kérések metódusát. Ha a szolgáltatótól származó alkalmazás nem rendelkezik jóváhagyással, akkor a metódussal való bejelentkezés meghiúsul.
Ha az alkalmazást törölték, vagy már nem rendelkezik engedéllyel, a felhasználók hibaüzenetet látnak, és a bejelentkezés meghiúsul. A metódus nem használható.
EAM konfigurálása a Felügyeleti központban
Ha a Microsoft Entra felügyeleti központban szeretné kezelni az EAM-eket, nyissa meg a hitelesítési módszerek házirendet. Válassza ki a metódus nevét a konfigurációs beállítások megnyitásához. Kiválaszthatja, hogy mely felhasználók legyenek belefoglalva és kizárva ebből a módszerből.
EAM törlése a Felügyeleti központban
Ha már nem szeretné, hogy a felhasználók használhassák az EAM-t, a következőkre van lehetősége:
- A metóduskonfiguráció mentéséhez állítsa be az Engedélyezés kikapcsolva beállítást
- Kattintson a Törlés gombra a metódus eltávolításához
EAM kezelése a Microsoft Graph használatával
Ahhoz, hogy a Hitelesítési módszerek házirendet a Microsoft Graph használatával kezelje, szüksége van az engedélyre Policy.ReadWrite.AuthenticationMethod
. További információ: Update authenticationMethodsPolicy.
Felhasználó felület
Az EAM-hez engedélyezett felhasználók akkor használhatják, amikor bejelentkeznek, és többtényezős hitelesítésre van szükség.
Feljegyzés
Aktívan dolgozunk a rendszer által előnyben részesített MFA támogatásán az EAM-ekkel.
Ha a felhasználó más módon is bejelentkezhet, és a rendszer által előnyben részesített MFA engedélyezve van, ezek a többi metódus alapértelmezés szerint jelennek meg. A felhasználó dönthet úgy, hogy egy másik módszert használ, majd kiválasztja az EAM-et. Ha például a felhasználónál engedélyezve van az Authenticator más módszerként, a rendszer számegyeztetést kér.
Ha a felhasználónak nincs más engedélyezett metódusa, egyszerűen kiválaszthatja az EAM-t. A rendszer átirányítja őket a külső hitelesítésszolgáltatóhoz a hitelesítés befejezéséhez.
Hitelesítési módszer regisztrálása EAM-ekhez
Az előzetes verzióban az EAM-csoport összes felhasználója MFA-kompatibilisnek minősül, és használhatja a külső hitelesítési módszert az MFA teljesítéséhez. Azok a felhasználók, amelyek MFA-kompatibilisek, mert belefoglalási célként szerepelnek az EAM-ben, nem szerepelnek a hitelesítési módszer regisztrációjára vonatkozó jelentésekben.
Feljegyzés
Aktívan dolgozunk azon, hogy regisztrációs képességet adjunk az EAM-ekhez. A regisztráció hozzáadása után a korábban EAM-t használó felhasználóknak regisztrálniuk kell az EAM-t az Entra-azonosítóval, mielőtt a rendszer arra kéri őket, hogy használják az MFA-t.
Egyéni EAM- és feltételes hozzáférés-vezérlők használata párhuzamosan
Az EAM-ek és az egyéni vezérlők párhuzamosan is működhetnek. A Microsoft két feltételes hozzáférési szabályzat konfigurálását javasolja a rendszergazdáknak:
- Egy szabályzat az egyéni vezérlő kikényszerítéséhez
- Egy másik szabályzat az MFA-támogatással
Adjon meg egy tesztcsoportot az egyes szabályzatokhoz, de mindkettőt nem. Ha egy felhasználó mindkét szabályzatban szerepel, vagy bármely olyan szabályzatban, amely mindkét feltétellel rendelkezik, a felhasználónak meg kell felelnie az MFA-nak a bejelentkezés során. Emellett meg kell felelniük az egyéni vezérlőnek, ami miatt másodszor is átirányítják őket a külső szolgáltatóhoz.
Következő lépések
A hitelesítési módszerek kezeléséről további információt a Microsoft Entra ID hitelesítési módszereinek kezelése című témakörben talál.
Az EAM-szolgáltatóra vonatkozó referencia: Microsoft Entra multifactor authentication external method provider reference (Előzetes verzió).