Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Dokumen ini menguraikan pernyataan yang diperlukan Microsoft Entra ID dari penyedia identitas federasi (IdP) untuk menghormati nilai federatedIdpMfaBehaviour yang dikonfigurasi, yaitu acceptIfMfaDoneByFederatedIdp dan enforceMfaByFederatedIdp, untuk Security Assertions Markup Language (SAML) dan federasi WS-Fed.
Saran
Mengonfigurasi ID Microsoft Entra dengan IdP federasi adalah opsional. Microsoft Entra merekomendasikan metode autentikasi tersedia di ID Microsoft Entra.
- ID Microsoft Entra menyertakan dukungan untuk metode autentikasi yang sebelumnya hanya tersedia melalui IdP federasi seperti sertifikat/kartu pintar dengan Autentikasi Berbasis Sertifikat Entra
- MICROSOFT Entra ID menyertakan dukungan untuk mengintegrasikan penyedia MFA pihak ke-3 dengan Metode Autentikasi Eksternal
- Aplikasi yang terintegrasi dengan IdP federasi dapat terintegrasi langsung dengan ID Microsoft Entra
Menggunakan IdP yang terfederasi WS-Fed atau SAML 1.1
Saat admin secara pilihan mengonfigurasi penyewa Microsoft Entra ID mereka untuk menggunakan IdP terfederasi dengan federasi WS-Fed, Microsoft Entra mengalihkan pengguna ke IdP untuk autentikasi dan mengharapkan tanggapan dalam bentuk Request Security Token Response (RSTR) yang berisi pernyataan SAML 1.1. Jika dikonfigurasi untuk melakukannya, Microsoft Entra mematuhi MFA yang dilakukan oleh IdP jika salah satu dari dua klaim berikut ada:
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
Mereka dapat dimasukkan dalam pernyataan sebagai bagian dari elemen AuthenticationStatement. Misalnya:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
Atau mereka dapat dimasukkan dalam pernyataan sebagai bagian dari elemen AttributeStatement. Misalnya:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Menggunakan frekuensi masuk dan kontrol sesi Kebijakan Akses Bersyarat dengan WS-Fed atau SAML 1.1
Frekuensi masuk menggunakan UserAuthenticationInstant (pernyataan SAML http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), yang merupakan AuthInstant dari autentikasi faktor pertama yang menggunakan kata sandi untuk SAML1.1/WS-Fed.
Menggunakan IDP federasi SAML 2.0
Saat admin secara opsional mengonfigurasi penyewa Microsoft Entra ID mereka untuk menggunakan IdP federasi dengan federasi SAMLP/SAML 2.0, Microsoft Entra akan mengalihkan proses ke IdP untuk autentikasi, dan mengharapkan respons yang berisi pernyataan SAML 2.0. Pernyataan MFA yang masuk harus terdapat dalam elemen AuthnContext dari AuthnStatement.
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
Akibatnya, agar pernyataan MFA yang diterima dapat diproses oleh Microsoft Entra, mereka harus ada dalam elemen AuthnContext elemen AuthnStatement. Hanya satu metode yang dapat disajikan dengan cara ini.
Menggunakan frekuensi masuk dan kebijakan Akses Bersyarat untuk kontrol sesi dengan SAML 2.0
Frekuensi masuk menggunakan AuthInstant dari MFA atau autentikasi faktor pertama yang terdapat dalam AuthnStatement. Setiap pernyataan yang ada di bagian AttributeReference dari payload diabaikan, termasuk http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.