Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo documento descrive le asserzioni che Microsoft Entra ID richiede da un provider di identità federato (IdP) per accettare valori come federatedIdpMfaBehaviour - acceptIfMfaDoneByFederatedIdp e enforceMfaByFederatedIdp - nel contesto del Security Assertions Markup Language (SAML) e della federazione WS-Fed.
Suggerimento
La configurazione dell'ID Microsoft Entra con un IdP federato è facoltativa. Microsoft Entra consiglia metodi di autenticazione disponibili in Microsoft Entra ID.
- Microsoft Entra ID include il supporto per i metodi di autenticazione disponibili in precedenza solo tramite un IDP federato, ad esempio certificati/smart card con autenticazione basata su certificato Entra
- Microsoft Entra ID include il supporto per l'integrazione di provider MFA di terze parti con metodi di autenticazione esterna
- Le applicazioni integrate con un IdP federato possono essere integrate direttamente con Microsoft Entra ID
Utilizzo di IdP federato WS-Fed o SAML 1.1
Quando un amministratore configura facoltativamente il tenant di Microsoft Entra ID per l'uso di un IdP federato usando la WS-Fed federazione, Microsoft Entra reindirizza all'IdP per l'autenticazione e si aspetta una risposta sotto forma di un Request Security Token Response (RSTR) contenente un'asserzione SAML 1.1. Se è configurata per farlo, Microsoft Entra riconosce l'autenticazione a più fattori eseguita dal fornitore di identità se è presente una delle seguenti due dichiarazioni:
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
Possono essere inclusi nell'asserzione come parte dell'elemento AuthenticationStatement. Per esempio:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
Oppure possono essere inclusi nell'asserzione come parte degli elementi AttributeStatement. Per esempio:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Uso della frequenza di accesso e controllo delle sessioni con le politiche di accesso condizionale con WS-Fed o SAML 1.1
frequenza di autenticazione usa UserAuthenticationInstant (asserzione SAML http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), che è l'AuthInstant dell'autenticazione a fattore singolo usando la password per SAML1.1/WS-Fed.
Utilizzo di IdP federato con SAML 2.0
Quando un amministratore configura il tenant di Microsoft Entra ID per facoltativamente utilizzare un idP federato usando SAMLP/SAML 2.0, Microsoft Entra reindirizzerà al provider di identità per l'autenticazione e si aspetta una risposta contenente un'asserzione SAML 2.0. Le asserzioni MFA in ingresso devono essere presenti nell'elemento AuthnContext del AuthnStatement.
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
Di conseguenza, affinché le asserzioni MFA in ingresso vengano elaborate da Microsoft Entra, devono essere presenti nell'elemento AuthnContext dell'AuthnStatement. In questo modo è possibile presentare un solo metodo.
Utilizzo delle politiche di accesso condizionale per la gestione della frequenza di accesso e del controllo della sessione con SAML 2.0
Frequenza di Accesso utilizza AuthInstant per l'autenticazione tramite MFA o First Factor fornita nel AuthnStatement. Tutte le asserzioni condivise nella sezione AttributeReference del payload vengono ignorate, incluso http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.