Supporto per il parametro prompt=login di Active Directory Federation Services

Il documento seguente descrive il supporto nativo per il parametro prompt=login disponibile in AD FS.

Che cos'è prompt=login?

Quando le applicazioni devono richiedere l'autenticazione aggiornata dall'ID Microsoft Entra, ovvero hanno bisogno di Microsoft Entra ID per autenticare nuovamente l'utente anche se l'utente è già stato autenticato, può inviare il parametro prompt=login all'ID di Microsoft Entra come parte della richiesta di autenticazione.

Quando questa richiesta è per un utente federato, Microsoft Entra ID deve informare il provider di identità, ad esempio AD FS, che la richiesta è per l'autenticazione aggiornata.

Per impostazione predefinita, Microsoft Entra ID converte prompt=login in wfresh=0 e wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password quando si invia questo tipo di richieste di autenticazione al provider di identità federato.

Questi parametri indicano:

• wfresh=0: eseguire l'autenticazione aggiornata
• wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: usare nome utente/password per la richiesta di autenticazione aggiornata

Ciò può causare problemi con la Intranet aziendale e gli scenari di autenticazione a più fattori in cui è necessario un tipo di autenticazione diverso da nome utente e password, come richiesto dal parametro wauth.

AD FS in Windows Server 2012 R2 con l'aggiornamento cumulativo di luglio 2016 ha introdotto il supporto nativo per il parametro prompt=login. Ciò significa che ora Microsoft Entra ID può inviare questo parametro as-is al servizio AD FS come parte delle richieste di autenticazione di Microsoft Entra ID e Office 365.

Versioni di AD FS che supportano prompt=login

Di seguito è riportato un elenco di versioni di AD FS che supportano il parametro prompt=login.

• AD FS in Windows Server 2012 R2 con l'aggiornamento cumulativo di luglio 2016
• AD FS in Windows Server 2016 o versione successiva

Come configurare un dominio federato per inviare prompt=login ad AD FS

Usare il modulo Microsoft Graph PowerShell per configurare l'impostazione.

1. Ottenere prima di tutto i valori correnti di FederatedIdpMfaBehavior, PreferredAuthenticationProtocole PromptLoginBehavior per il dominio federato eseguendo il comando di PowerShell seguente:

   Get-MgDomainFederationConfiguration -DomainId <your_domain_name> | Format-List *
   

   Nota

   L'output di Get-MgDomainFederationConfiguration per impostazione predefinita non visualizza determinate proprietà nella console. Per visualizzare tutte le proprietà è necessario inviare tramite pipe (|) il relativo output a Format-List * per forzare l'output di tutte le proprietà dell'oggetto.

   Se il valore della proprietà PromptLoginBehavior è vuoto ($null) viene utilizzato il comportamento di TranslateToFreshPasswordAuth.

2. Configurare il valore desiderato di PromptLoginBehavior eseguendo il comando seguente:

   New-MgDomainFederationConfiguration -DomainId <your_domain_name> `
      -FederatedIdpMfaBehavior <current_value_from_step1> `
      -PreferredAuthenticationProtocol <current_value_from_step1> `
      -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>
   

Di seguito sono riportati i possibili valori di PromptLoginBehavior parametro e il relativo significato:

• TranslateToFreshPasswordAuth: indica il comportamento predefinito di Microsoft Entra di convertire prompt=login in wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password e wfresh=0.
• NativeSupport: indica che il parametro prompt=login verrà inviato così come è ad AD FS. Questo è il valore consigliato se AD FS si trova in Windows Server 2012 R2 con l'aggiornamento cumulativo di luglio 2016 o versione successiva.
• Disabilitato: indica che solo wfresh=0 viene inviato ad AD FS.