Dukungan parameter prompt=login untuk Active Directory Federation Services

Dokumen berikut menjelaskan dukungan bawaan untuk parameter prompt=login yang tersedia di AD FS.

Apa itu prompt=login?

Ketika aplikasi perlu meminta autentikasi baru dari ID Microsoft Entra, yang berarti bahwa mereka memerlukan ID Microsoft Entra untuk mengautentikasi ulang pengguna meskipun pengguna telah diautentikasi, mereka dapat mengirim parameter prompt=login ke ID Microsoft Entra sebagai bagian dari permintaan autentikasi.

Ketika permintaan ini untuk pengguna terfederasi, Microsoft Entra ID perlu menginformasikan IdP, seperti Active Directory Federation Services, bahwa permintaannya adalah untuk autentikasi ulang.

Secara default, ID Microsoft Entra menerjemahkan prompt=login ke wfresh=0 dan wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password saat mengirim jenis permintaan autentikasi ini ke IdP federasi.

Parameter ini berarti:

• wfresh=0: lakukan autentikasi baru
• wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: gunakan nama pengguna/kata sandi untuk permintaan autentikasi baru

Ini dapat menyebabkan masalah dengan intranet perusahaan dan skenario autentikasi multifaktor di mana jenis autentikasi selain nama pengguna dan kata sandi, seperti yang diminta oleh parameter wauth, diinginkan.

AD FS di Windows Server 2012 R2 dengan pembaruan kumulatif Juli 2016 memperkenalkan dukungan asli untuk parameter prompt=login. Ini berarti bahwa sekarang Microsoft Entra ID dapat mengirim parameter ini as-is ke layanan AD FS sebagai bagian dari permintaan autentikasi Microsoft Entra ID dan Office 365.

Versi AD FS yang mendukung prompt=login

Berikut ini adalah daftar versi AD FS yang mendukung parameter prompt=login.

• AD FS di Windows Server 2012 R2 dengan pembaruan kumulatif Juli 2016
• Layanan Federasi Direktori Aktif (AD FS) di Windows Server 2016 atau versi yang lebih baru

Cara mengatur domain federasi untuk mengirimkan prompt=login ke AD FS (Layanan Federasi Direktori Aktif)

Gunakan modul Microsoft Graph PowerShell untuk mengonfigurasi pengaturan.

1. Pertama-tama dapatkan nilai FederatedIdpMfaBehavior, PreferredAuthenticationProtocol, dan PromptLoginBehavior saat ini untuk domain federasi dengan menjalankan perintah PowerShell berikut:

   Get-MgDomainFederationConfiguration -DomainId <your_domain_name> | Format-List *
   

   Note

   Output Get-MgDomainFederationConfiguration secara default tidak menampilkan properti tertentu di konsol. Untuk melihat semua properti, Anda harus menyalurkan (|) outputnya ke Format-List * untuk memaksa output semua properti objek.

   Jika nilai properti PromptLoginBehavior kosong ($null) perilaku TranslateToFreshPasswordAuth digunakan.

2. Konfigurasikan nilai PromptLoginBehavior yang diinginkan dengan menjalankan perintah berikut:

   New-MgDomainFederationConfiguration -DomainId <your_domain_name> `
      -FederatedIdpMfaBehavior <current_value_from_step1> `
      -PreferredAuthenticationProtocol <current_value_from_step1> `
      -PromptLoginBehavior <TranslateToFreshPasswordAuth|nativeSupport|Disabled>
   

Berikut ini adalah nilai yang mungkin dari parameter PromptLoginBehavior dan maknanya:

• TranslateToFreshPasswordAuth: mengacu pada perilaku default Microsoft Entra untuk menerjemahkan prompt=login ke wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password dan wfresh=0.
• nativeSupport: berarti bahwa parameter prompt=login akan dikirim sebagaimana adanya ke AD FS. Ini adalah nilai yang direkomendasikan jika Layanan Federasi Direktori Aktif berada di Windows Server 2012 R2 dengan pembaruan kumpulan Juli 2016 atau versi yang lebih tinggi.
• Dinonaktifkan : berarti hanya wfresh=0 yang dikirim ke Layanan Federasi Direktori Aktif.