Metode autentikasi di MICROSOFT Entra ID - token OATH

  • Artikel

Kata sandi satu kali berbasis waktu (TOTP) OATH adalah standar terbuka yang menentukan bagaimana kode kata sandi satu kali (OTP) dihasilkan. TOTP OATH dapat diimplementasikan menggunakan perangkat lunak atau perangkat keras untuk menghasilkan kode. MICROSOFT Entra ID tidak mendukung OATH HOTP, standar pembuatan kode yang berbeda.

Token perangkat lunak OATH

Token OATH Perangkat lunak biasanya merupakan aplikasi seperti aplikasi Microsoft Authenticator dan aplikasi autentikator lainnya. Microsoft Entra ID membuat kunci rahasia, atau nilai awal, yang dimasukkan ke dalam aplikasi dan digunakan untuk membuat setiap OTP.

Aplikasi Authenticator secara otomatis menghasilkan kode saat disiapkan untuk melakukan pemberitahuan push sehingga pengguna memiliki cadangan meskipun perangkat mereka tidak memiliki konektivitas. Aplikasi pihak ketiga yang menggunakan TOTP OATH untuk menghasilkan kode juga dapat digunakan.

Beberapa token perangkat keras TOTP OATH dapat diprogram, yang berarti token tersebut tidak dilengkapi dengan kunci rahasia atau benih yang telah diprogram sebelumnya. Token perangkat keras yang dapat diprogram ini dapat diatur menggunakan kunci rahasia atau nilai awal yang diperoleh dari alur pengaturan token perangkat lunak. Pelanggan dapat membeli token ini dari vendor pilihan mereka dan menggunakan kunci rahasia atau nilai awal dalam proses pengaturan vendor mereka.

Token perangkat keras OATH (Pratinjau)

MICROSOFT Entra ID mendukung penggunaan token OATH-TOTP SHA-1 yang me-refresh kode setiap 30 atau 60 detik. Pelanggan dapat membeli token ini dari vendor pilihan mereka. Token OATH perangkat keras tersedia untuk pengguna dengan lisensi Microsoft Entra ID P1 atau P2.

Penting

Pratinjau hanya didukung di cloud Azure Global dan Azure Government.

Token perangkat keras TOTP OATH biasanya dilengkapi dengan kunci rahasia, atau nilai awal, yang telah diprogram sebelumnya dalam token. Kunci ini harus dimasukkan ke dalam ID Microsoft Entra seperti yang dijelaskan dalam langkah-langkah berikut. Kunci rahasia dibatasi hingga 128 karakter, yang tidak kompatibel dengan beberapa token. Kunci rahasia hanya dapat berisi karakter a-z atau A-Z dan digit 2-7, dan harus dikodekan di Base32.

Token perangkat keras TOTP OATH yang dapat diprogram yang dapat disetel ulang juga dapat disiapkan dengan ID Microsoft Entra dalam alur penyiapan token perangkat lunak.

Token perangkat keras OATH didukung sebagai bagian dari pratinjau publik. Untuk mengetahui informasi selengkapnya mengenai pratinjau, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Screenshot of OATH token management.

Setelah token diperoleh, token harus diunggah dalam format file nilai yang dipisahkan koma (CSV). File harus menyertakan UPN, nomor seri, kunci rahasia, interval waktu, produsen, dan model, seperti yang ditunjukkan dalam contoh berikut:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Catatan

Pastikan Anda menyertakan baris header dalam file CSV Anda.

Setelah diformat dengan benar sebagai file CSV, Administrator Global kemudian dapat masuk ke pusat admin Microsoft Entra, menavigasi ke token OATH autentikasi>Multifaktor Perlindungan>, dan mengunggah file CSV yang dihasilkan.

Tergantung pada ukuran file CSV, dibutuhkan beberapa menit untuk diproses. Pilih tombol Refresh untuk mendapatkan status saat ini. Jika ada kesalahan dalam file, Anda dapat mengunduh file CSV yang mencantumkan semua kesalahan untuk Anda selesaikan. Nama bidang dalam file CSV yang diunduh berbeda dari versi yang diunggah.

Setelah kesalahan ditangani, administrator kemudian dapat mengaktifkan setiap kunci dengan memilih Aktifkan untuk token dan memasukkan OTP yang ditampilkan pada token. Anda dapat mengaktifkan maksimal 200 token OATH setiap 5 menit.

Pengguna dapat memiliki kombinasi hingga lima token perangkat keras OATH atau aplikasi pengautentikasi, seperti aplikasi Microsoft Authenticator, yang dikonfigurasi untuk digunakan kapan saja. Token OATH perangkat keras tidak dapat ditetapkan untuk pengguna tamu di penyewa sumber daya.

Penting

Pastikan untuk hanya menetapkan setiap token ke satu pengguna. Di masa mendatang, dukungan untuk penugasan satu token ke beberapa pengguna berhenti untuk mencegah risiko keamanan.

Memecahkan masalah kegagalan selama pemrosesan unggahan

Terkadang, mungkin ada konflik atau masalah yang terjadi dengan pemrosesan unggahan file CSV. Jika terjadi konflik atau masalah, Anda akan menerima pemberitahuan yang mirip dengan yang berikut ini:

Screenshot of upload error example.

Untuk menentukan pesan kesalahan, pastikan dan pilih Tampilkan Detail. Bilah Status token Perangkat Keras terbuka dan memberikan ringkasan status unggahan. Ini menunjukkan bahwa ada kegagalan, atau beberapa kegagalan, seperti dalam contoh berikut:

Screenshot of hardware token status example.

Untuk menentukan penyebab kegagalan yang tercantum, pastikan untuk mengklik kotak centang di samping status yang ingin Anda lihat, yang mengaktifkan opsi Unduh . Ini mengunduh file CSV yang berisi kesalahan yang diidentifikasi.

Screenshot of download status example.

File yang diunduh diberi nama Failures_filename.csv di mana nama file adalah nama file yang diunggah. Ini disimpan ke direktori unduhan default Anda untuk browser Anda.

Contoh ini menunjukkan kesalahan yang diidentifikasi sebagai pengguna yang saat ini tidak ada di direktori penyewa:

Screenshot of error reason example.

Setelah Anda mengatasi kesalahan yang tercantum, unggah CSV lagi hingga berhasil diproses. Informasi status untuk setiap upaya tetap selama 30 hari. CSV dapat dihapus secara manual dengan mengklik kotak centang di samping status, lalu memilih Hapus status jika diinginkan.

Menentukan jenis pendaftaran token OATH

Pengguna dapat mengelola dan menambahkan pendaftaran token OATH dengan mengakses mysecurityinfo atau dengan memilih Info keamanan dari Akun saya. Ikon tertentu digunakan untuk membedakan apakah pendaftaran token OATH berbasis perangkat keras atau perangkat lunak.

Jenis pendaftaran token Icon
Token perangkat lunak OATH Software OATH token
Token perangkat keras OATH Hardware OATH token

Langkah berikutnya

Pelajari lebih lanjut tentang mengonfigurasi metode autentikasi menggunakan Microsoft Graph REST API. Pelajari tentang penyedia kunci keamanan FIDO2 yang kompatibel dengan autentikasi tanpa sandi.