Home Realm Discovery egy alkalmazáshoz
A Home Realm Discovery (HRD) az a folyamat, amely lehetővé teszi a Microsoft Entra ID-nek, hogy meghatározza, melyik identitásszolgáltatóval (IDP-vel) kell hitelesítenie a felhasználót a bejelentkezéskor. Amikor egy felhasználó bejelentkezik egy Microsoft Entra-bérlőbe egy erőforrás eléréséhez, vagy a Microsoft Entra gyakori bejelentkezési oldalára, beír egy felhasználónevet (UPN). A Microsoft Entra ID ezzel deríti fel, hogy a felhasználónak hol kell bejelentkeznie.
A felhasználó a következő identitásszolgáltatók egyikére kerül hitelesítésre:
A felhasználó otthoni bérlője (lehet, hogy ugyanaz a bérlő, mint a felhasználó által elérni kívánt erőforrás).
Microsoft-fiók. A felhasználó egy vendég az erőforrás-bérlőben, amely egy fogyasztói fiókot használ a hitelesítéshez.
Helyszíni identitásszolgáltató, például Active Directory összevonási szolgáltatások (AD FS) (ADFS).
Egy másik identitásszolgáltató, amely a Microsoft Entra-bérlővel összevont.
Automatikus gyorsítás
Egyes szervezetek úgy konfigurálják a Microsoft Entra-bérlő tartományait, hogy egy másik identitásszolgáltatóval, például az ADFS-sel egyesítsék a felhasználói hitelesítést.
Amikor egy felhasználó bejelentkezik egy alkalmazásba, először megjelenik egy Microsoft Entra bejelentkezési oldal. Miután beírták az UPN-et, ha összevont tartományban vannak, akkor a program az adott tartományt kiszolgáló identitásszolgáltató bejelentkezési oldalára irányítja őket. Bizonyos körülmények között előfordulhat, hogy a rendszergazdák a bejelentkezési oldalra szeretnék irányítani a felhasználókat, amikor bizonyos alkalmazásokba jelentkeznek be.
Ennek eredményeképpen a felhasználók kihagyhatják a Microsoft Entra-azonosító kezdeti oldalát. Ezt a folyamatot nevezik "bejelentkezési automatikus gyorsításnak". A Microsoft nem javasolja tovább az automatikus gyorsítás konfigurálását, mivel megakadályozhatja az olyan erősebb hitelesítési módszerek használatát, mint a FIDO, és akadályozza az együttműködést. Az automatikus gyorsítás nem konfigurálásának előnyeiről további információt a jelszó nélküli biztonsági kulcsok bejelentkezésének engedélyezése című témakörben talál. A bejelentkezés automatikus gyorsításának megelőzéséről további információt az automatikus gyorsítási bejelentkezés letiltása című témakörben talál.
Azokban az esetekben, amikor a bérlő egy másik idP-hez van összevonva a bejelentkezéshez, az automatikus gyorsítás egyszerűbbé teszi a felhasználói bejelentkezést. Az automatikus gyorsítást egyéni alkalmazásokhoz is konfigurálhatja. Az automatikus gyorsítás konfigurálásával megtudhatja, hogyan kényszerítheti az automatikus gyorsítást a HRD használatával.
Feljegyzés
Ha automatikus gyorsításra konfigurál egy alkalmazást, a felhasználók nem használhatnak felügyelt hitelesítő adatokat (például FIDO), és a vendégfelhasználók nem tudnak bejelentkezni. Ha közvetlenül egy összevont identitásszolgáltatóhoz viszi a felhasználót hitelesítés céljából, nincs mód arra, hogy visszatérjen a Microsoft Entra bejelentkezési oldalára. A vendégfelhasználók, akiknek esetleg más bérlőkhöz vagy külső identitásszolgáltatóhoz, például Microsoft-fiókhoz kell irányítaniuk, nem tudnak bejelentkezni az alkalmazásba, mert kihagyják a HRD-lépést.
Az összevont identitásszolgáltatóra történő automatikus gyorsítás háromféleképpen szabályozható:
- Használjon egy tartományra vonatkozó tippet egy alkalmazás hitelesítési kérelmeihez.
- Konfiguráljon egy HRD-szabályzatot az automatikus gyorsítás kényszerítéséhez.
- Konfiguráljon egy HRD-szabályzatot, hogy figyelmen kívül hagyja az adott alkalmazásokból vagy bizonyos tartományokból származó tartománymutatókat .
Tartomány-megerősítési párbeszédpanel
2023 áprilisától az automatikus gyorsítást vagy intelligens hivatkozásokat használó szervezetek új képernyőt láthatnak a bejelentkezési felhasználói felületen. Ez a tartománymegerősítő párbeszédpanel a Microsoft általános biztonsági megerősítése iránti elkötelezettségének része, és megköveteli a felhasználótól, hogy erősítse meg annak a bérlőnek a tartományát, akibe bejelentkezik.
Teendők
Amikor megjelenik a Tartomány-megerősítés párbeszédpanel, a következőt kell tenni:
Ellenőrizze a tartományt: Tekintse meg a képernyőn látható tartománynevet. A fiók otthoni bérlőjének tartományát kell látnia, például
contoso.com
:- Ha felismeri a tartományt , és megegyezik azzal a szervezettel, amelyikbe be szeretne jelentkezni, válassza a Megerősítés lehetőséget a folytatáshoz.
- Ha nem ismeri fel a tartományt , mondja le a bejelentkezési folyamatot, és kérjen segítséget a rendszergazdától (ha van).
Ez a lépés biztosítja, hogy a megfelelő szervezetbe jelentkezzen be.
A tartomány-megerősítési párbeszédpanel összetevői
Az alábbi képernyőképen egy példa látható arra, hogy a tartomány-megerősítési párbeszédpanel hogyan nézhet ki Önnek:
A párbeszédpanel kelly@contoso.com
tetején található azonosító a bejelentkezéshez használt azonosítót jelöli. A párbeszédpanel fejlécében és alfejlécében szereplő bérlői tartomány a fiók otthoni bérlőjének tartományát jeleníti meg.
Bár a Tartománymegerősítő párbeszédpanelnek nem kell megjelennie az automatikus gyorsítás vagy az intelligens hivatkozások minden példánya esetében, a Tartománymegerősítő párbeszédpanel automatikus gyorsítást jelent, és az intelligens hivatkozások nem haladhatnak zökkenőmentesen, ha megjelennek. Ha a szervezet a böngészőszabályzatok vagy egyéb okból törli a cookie-kat, előfordulhat, hogy gyakrabban tapasztalja a tartomány-megerősítési párbeszédpanelt. Végül, mivel a Microsoft Entra ID kezeli az automatikus gyorsítási bejelentkezési folyamatot a végpontok között, a Tartománymegerősítő párbeszédpanel bevezetése nem eredményezhet alkalmazástöréseket.
Tartományi tippek
A tartománymutatók olyan irányelvek, amelyek egy alkalmazás hitelesítési kérésében szerepelnek. Segítségével felgyorsíthatja a felhasználót az összevont identitásszolgáltató bejelentkezési oldalára. A több-bérlős alkalmazások arra is használhatják őket, hogy felgyorsítsák a felhasználót közvetlenül a microsoft entra bejelentkezési oldalára a bérlőjük számára.
A "largeapp.com" alkalmazás például lehetővé teheti ügyfelei számára, hogy egy egyéni URL-címen (contoso.largeapp.com) férhessenek hozzá az alkalmazáshoz. Az alkalmazás egy tartományra vonatkozó tippet is tartalmazhat, amely contoso.com a hitelesítési kérelemben.
A tartománymutató szintaxisa a használt protokolltól függően változik, és az alkalmazás a következő módokon van konfigurálva:
WS-Összevonást használó alkalmazások esetén:
whr
lekérdezési sztring paraméter. Például whr=contoso.com.A Security Assertion Markup Language (SAML)-t használó alkalmazások esetében: Egy SAML-hitelesítési kérelem, amely tartomány-tippet vagy lekérdezési sztringet tartalmaz whr=contoso.com.
Az OpenID Connectet használó alkalmazások esetén:
domain_hint
lekérdezési sztring paraméter. Például domain_hint=contoso.com.
Alapértelmezés szerint a Microsoft Entra ID megpróbálja átirányítani a bejelentkezést egy tartomány konfigurált identitásszolgáltatójához, ha az alábbiak mindegyike igaz:
- Az alkalmazástól kapott hitelesítési kérelem tartalmaz egy tartományra vonatkozó tippet.
- A bérlő ezzel a tartománnyal van összevonva.
Ha a tartománymutató nem ellenőrzött összevont tartományra hivatkozik, figyelmen kívül hagyhatja.
Feljegyzés
Ha egy tartományra vonatkozó tipp szerepel egy hitelesítési kérelemben, és tiszteletben kell tartani, a jelenlét felülírja az alkalmazáshoz beállított automatikus gyorsítást a HRD-házirendben.
HRD-szabályzat az automatikus gyorsításhoz
Egyes alkalmazások nem biztosítanak módot az általuk küldött hitelesítési kérés konfigurálására. Ezekben az esetekben nem használható tartománymutató az automatikus gyorsítás szabályozására. Az automatikus gyorsítás a Home Realm Discovery szabályzattal konfigurálható ugyanahhoz a viselkedéshez.
HRD-szabályzat az automatikus gyorsítás megakadályozásához
Egyes Microsoft- és SaaS-alkalmazások automatikusan tartalmazzák a domain_hints (például https://outlook.com/contoso.com
egy hozzáfűzött bejelentkezési kérést &domain_hint=contoso.com
eredményeznek), ami megzavarhatja a felügyelt hitelesítő adatok( például a FIDO) létrehozását. A Home Realm Discovery szabályzatával figyelmen kívül hagyhatja bizonyos alkalmazások vagy bizonyos tartományok tartományra vonatkozó tippeit a felügyelt hitelesítő adatok bevezetése során.
Összevont felhasználók közvetlen ROPC-hitelesítésének engedélyezése örökölt alkalmazásokhoz
Ajánlott eljárás, ha az alkalmazások Microsoft Entra-kódtárakat és interaktív bejelentkezést használnak a felhasználók hitelesítéséhez. A kódtárak gondoskodnak az összevont felhasználói folyamatokról. Néha az örökölt alkalmazások, különösen az erőforrás-tulajdonosi jelszó hitelesítő adatait (ROPC) használó alkalmazások engedélyezik a felhasználónevet és a jelszót közvetlenül a Microsoft Entra-azonosítóhoz, és nem az összevonás megértéséhez vannak megírva. Nem végeznek HRD-t, és nem használják a megfelelő összevont végpontot a felhasználó hitelesítéséhez. Ha ezt választja, a Home Realm Discovery-szabályzattal engedélyezheti azokat az örökölt alkalmazásokat , amelyek a ROPC-engedély használatával küldik el a felhasználónevet/jelszó hitelesítő adatait a Közvetlenül a Microsoft Entra-azonosítóval történő hitelesítéshez, a jelszókivonat-szinkronizálást engedélyezni kell.
Fontos
Csak akkor engedélyezze a közvetlen hitelesítést, ha be van kapcsolva a Jelszókivonat szinkronizálása, és tudja, hogy a helyszíni identitásszolgáltató által implementált szabályzatok nélkül is hitelesítheti az alkalmazást. Ha bármilyen okból kikapcsolja a jelszókivonat-szinkronizálást, vagy bármilyen okból kikapcsolja a címtár-szinkronizálást az AD Connecttel, el kell távolítania ezt a házirendet, hogy megakadályozza a közvetlen hitelesítés lehetőségét elavult jelszókivonat használatával.
HRD-szabályzat beállítása
A HRD-szabályzat beállításának három lépése van az összevont bejelentkezési automatikus gyorsításhoz vagy a közvetlen felhőalapú alkalmazásokhoz:
HRD-szabályzat létrehozása.
Keresse meg azt a szolgáltatásnevet, amelyhez csatolni szeretné a szabályzatot.
Csatolja a szabályzatot a szolgáltatásnévhez.
A szabályzatok csak akkor lépnek érvénybe egy adott alkalmazás esetében, ha egy szolgáltatásnévhez vannak csatolva.
Egyszerre csak egy HRD-szabályzat lehet aktív egy szolgáltatásnéven.
A Microsoft Graph PowerShell-parancsmagjaival HRD-szabályzatot hozhat létre és kezelhet.
A json-objektum egy példa HRD-szabályzatdefiníció:
{
"HomeRealmDiscoveryPolicy":
{
"AccelerateToFederatedDomain":true,
"PreferredDomain":"federated.example.edu",
"AllowCloudPasswordValidation":false
}
}
A szabályzat típusa a "HomeRealmDiscoveryPolicy".
A AccelerateToFederatedDomain nem kötelező. Ha az AccelerateToFederatedDomain értéke hamis, a szabályzatnak nincs hatása az automatikus gyorsításra. Ha az AccelerateToFederatedDomain igaz, és a bérlőben csak egy ellenőrzött és összevont tartomány található, akkor a felhasználók közvetlenül az összevont identitásszolgáltatóhoz kerülnek a bejelentkezéshez. Ha igaz, és több ellenőrzött tartomány is van a bérlőben, meg kell adni a PreferredDomain értéket.
A PreferredDomain megadása nem kötelező. A PreferredDomain tartományt kell jelölnie, amelyre fel kell gyorsítani. Kihagyható, ha a bérlő csak egy összevont tartománnyal rendelkezik. Ha nincs megadva, és több ellenőrzött összevont tartomány van, a szabályzatnak nincs hatása.
Ha a PreferredDomain meg van adva, annak meg kell egyeznie a bérlő ellenőrzött, összevont tartományával. Az alkalmazás minden felhasználójának képesnek kell lennie arra a tartományra bejelentkezni – azok a felhasználók, akik nem tudnak bejelentkezni az összevont tartományban, csapdába esnek, és nem tudják befejezni a bejelentkezést.
Az AllowCloudPasswordValidation megadása nem kötelező. Ha az AllowCloudPasswordValidation igaz, akkor az alkalmazás a felhasználónév/jelszó hitelesítő adatainak közvetlenül a Microsoft Entra-jogkivonat végpontján való bemutatásával hitelesítheti az összevont felhasználót. Ez csak akkor működik, ha a Jelszókivonat szinkronizálása engedélyezve van.
Emellett két bérlőszintű HRD-beállítás létezik, amelyek nem jelennek meg a cikk előző szakaszában:
Az AlternateIdLogin nem kötelező. Ha engedélyezve van, az AlternateLoginID lehetővé teszi, hogy a felhasználók a Microsoft Entra bejelentkezési oldalán az upn helyett az e-mail-címükkel jelentkezzenek be. A másodlagos azonosítók arra támaszkodnak, hogy a felhasználó nem lesz automatikusan felgyorsulva összevont identitásszolgáltatóra.
A DomainHintPolicy egy opcionális összetett objektum, amely megakadályozza, hogy a tartománymutatók automatikusan felgyorsítják a felhasználókat az összevont tartományokra. Ez a bérlői szintű beállítás biztosítja, hogy a tartományi tippeket küldő alkalmazások ne akadályozzák meg a felhasználókat abban, hogy felhőalapúan felügyelt hitelesítő adatokkal jelentkezzenek be.
A HRD-szabályzatok prioritása és értékelése
A HRD-szabályzatok létrehozhatók, majd hozzárendelhetők adott szervezetekhez és szolgáltatásnevekhez. Ez azt jelenti, hogy több szabályzat is alkalmazható egy adott alkalmazásra, ezért a Microsoft Entra ID-nak kell eldöntenie, hogy melyik a elsőbbséget élvezi. Egy szabálykészlet dönti el, hogy melyik HRD-szabályzat lép érvénybe (több alkalmazott közül):
Ha a hitelesítési kérelemben tartománymutató szerepel, akkor a rendszer ellenőrzi a bérlő HRD-szabályzatát (a bérlő alapértelmezettként beállított házirendet), és ellenőrzi, hogy figyelmen kívül kell-e hagyni a tartományi tippeket. Ha a tartománymutatók engedélyezettek, a rendszer a tartománymutató által megadott viselkedést használja.
Ha egy szabályzat explicit módon van hozzárendelve a szolgáltatásnévhez, a rendszer kikényszeríti.
Ha nincs tartományi tipp, és nincs kifejezetten hozzárendelve szabályzat a szolgáltatásnévhez, a rendszer kikényszeríti a szolgáltatásnév szülőszervezetéhez explicit módon hozzárendelt szabályzatot.
Ha nincs tartományi tipp, és nincs hozzárendelve szabályzat a szolgáltatásnévhez vagy a szervezethez, a rendszer az alapértelmezett HRD-viselkedést használja.
Következő lépések
- Alkalmazás bejelentkezési viselkedésének konfigurálása Home Realm Discovery-szabályzat használatával
- Az összevont identitásszolgáltató automatikus gyorsításának letiltása a Home Realm Discovery szabályzattal való felhasználói bejelentkezés során
- Hitelesítési forgatókönyvek a Microsoft Entra-azonosítóhoz