Home Realm Discovery voor een toepassing

Home Realm Discovery (HRD) is het proces waarmee Microsoft Entra ID kan bepalen met welke id-provider (IDP) een gebruiker zich moet verifiëren op het moment van aanmelden. Wanneer een gebruiker zich aanmeldt bij een Microsoft Entra-tenant om toegang te krijgen tot een resource of naar de algemene aanmeldingspagina van Microsoft Entra, typt deze een gebruikersnaam (UPN). Microsoft Entra ID gebruikt deze om te ontdekken waar de gebruiker zich moet aanmelden.

De gebruiker wordt naar een van de volgende id-providers geleid om te worden geverifieerd:

• De basistenant van de gebruiker (kan dezelfde tenant zijn als de resource waartoe de gebruiker toegang probeert te krijgen).

• Microsoft-account. De gebruiker is een gast in de resourcetenant die gebruikmaakt van een consumentenaccount voor verificatie.

• Een on-premises id-provider, zoals Active Directory Federation Services (ADFS).

• Een andere id-provider die is gefedereerd met de Microsoft Entra-tenant.

Automatische versnelling

Sommige organisaties configureren domeinen in hun Microsoft Entra-tenant om te federeren met een andere IdP, zoals ADFS voor gebruikersverificatie.

Wanneer een gebruiker zich aanmeldt bij een toepassing, krijgt deze de eerste aanmeldingspagina van Microsoft Entra te zien. Nadat ze hun UPN hebben getypt, als ze zich in een federatief domein bevinden, worden ze naar de aanmeldingspagina van de IdP geleid die dat domein bedient. Onder bepaalde omstandigheden willen beheerders gebruikers mogelijk doorsturen naar de aanmeldingspagina wanneer ze zich aanmelden bij specifieke toepassingen.

Hierdoor kunnen gebruikers de eerste Microsoft Entra ID-pagina overslaan. Dit proces wordt 'automatisch aanmelden' genoemd. Microsoft raadt het configureren van automatische versnelling niet langer aan, omdat het gebruik van sterkere verificatiemethoden zoals FIDO kan voorkomen en samenwerking belemmert. Zie Aanmelden zonder wachtwoordloze beveiligingssleutel inschakelen voor meer informatie over de voordelen van het niet configureren van automatische versnelling. Zie Aanmelden voor automatische versnelling uitschakelen voor meer informatie over het voorkomen van automatische versnelling van aanmelden.

In gevallen waarin de tenant is gefedereerd naar een andere IdP voor aanmelding, zorgt autoversnelling ervoor dat gebruikers zich beter kunnen aanmelden. U kunt automatische versnelling configureren voor afzonderlijke toepassingen. Zie Automatische versnelling configureren voor meer informatie over het afdwingen van automatische versnelling met BEHULP van HRD.

Notitie

Als u een toepassing configureert voor automatische versnelling, kunnen gebruikers geen beheerde referenties (zoals FIDO) gebruiken en kunnen gastgebruikers zich niet aanmelden. Als u een gebruiker rechtstreeks naar een federatieve IdP voor verificatie brengt, is er geen manier om terug te gaan naar de aanmeldingspagina van Microsoft Entra. Gastgebruikers, die mogelijk moeten worden omgeleid naar andere tenants of een externe IdP, zoals een Microsoft-account, kunnen zich niet aanmelden bij die toepassing omdat ze de HRD-stap overslaan.

Er zijn drie manieren om automatische versnelling naar een federatieve IdP te beheren:

• Gebruik een domeinhint voor verificatieaanvragen voor een toepassing.
• Configureer een HRD-beleid om automatische versnelling af te dwingen.
• Configureer een HRD-beleid om domeinhints van specifieke toepassingen of voor bepaalde domeinen te negeren.

Dialoogvenster Domeinbevestiging

Vanaf april 2023 kunnen organisaties die gebruikmaken van automatische versnelling of slimme koppelingen, een nieuw scherm zien dat is toegevoegd aan de aanmeldingsgebruikersinterface. Dit scherm heet het dialoogvenster Domeinbevestiging, maakt deel uit van de algemene toezegging van Microsoft om beveiliging te beveiligen en vereist dat de gebruiker het domein van de tenant waar ze zich aanmelden, bevestigt. Annuleer de verificatiestroom en neem contact op met uw IT-beheerder (indien van toepassing) als u het dialoogvenster Domeinbevestiging ziet en het vermelde tenantdomein niet herkent. Hier volgt een voorbeeld van hoe het dialoogvenster voor domeinbevestiging eruit kan zien:

De id boven aan het dialoogvenster, kelly@contoso.comvertegenwoordigt de id die wordt gebruikt om u aan te melden. Het tenantdomein dat wordt vermeld in de koptekst en subkop van het dialoogvenster, toont het domein van de hoofdtenant van het account.

Hoewel het dialoogvenster Domeinbevestiging niet hoeft te worden weergegeven voor elk exemplaar van automatische versnelling of slimme koppelingen, betekent het dialoogvenster Domeinbevestiging dat automatische versnelling en slimme koppelingen niet meer naadloos kunnen worden voortgezet wanneer deze worden weergegeven. Als uw organisatie cookies wist vanwege browserbeleid of anderszins, kan het dialoogvenster voor het bevestigen van het domein vaker optreden. Ten slotte, aangezien Microsoft Entra ID de aanmeldstroom voor automatische versnelling end-to-end beheert, mag de introductie van het dialoogvenster Domeinbevestiging geen toepassingsonderbrekingen opleveren.

Bovendien kunt u het dialoogvenster Domeinbevestiging onderdrukken door een tenantbeperkingen v2 -beleid (TRv2) te configureren. Een TRv2-beleid bereikt dezelfde beveiligingspostuur als het dialoogvenster Domeinbevestiging en dus wanneer een TRv2-beleidskoptekst aanwezig is in de aanvraag, wordt het dialoogvenster Domeinbevestiging onderdrukt.

Domeinhints

Domeinhints zijn instructies die zijn opgenomen in de verificatieaanvraag van een toepassing. Ze kunnen worden gebruikt om de gebruiker versneld naar hun federatieve IdP-aanmeldingspagina te sturen. Multitenant-toepassingen kunnen ze ook gebruiken om de gebruiker rechtstreeks naar de aanmeldingspagina van Microsoft Entra voor hun tenant te versnellen.

Met de toepassing 'largeapp.com' kunnen klanten bijvoorbeeld toegang krijgen tot de toepassing via een aangepaste URL 'contoso.largeapp.com'. De app kan ook een domeinhint bevatten om te contoso.com in de verificatieaanvraag.

De syntaxis van de domeinhint varieert afhankelijk van het gebruikte protocol en wordt op de volgende manieren geconfigureerd in de toepassing:

• Voor toepassingen die gebruikmaken van de WS-Federation: whr queryreeksparameter. Bijvoorbeeld whr=contoso.com.

• Voor toepassingen die gebruikmaken van de Security Assertion Markup Language (SAML):een SAML-verificatieaanvraag die een domeinhint of een queryreeks bevat whr=contoso.com.

• Voor toepassingen die gebruikmaken van de OpenID-Verbinding maken: domain_hint queryreeksparameter. Bijvoorbeeld domain_hint=contoso.com.

Standaard probeert Microsoft Entra ID aanmelding om te leiden naar de geconfigureerde IDP voor een domein als beide waar zijn:

• Een domeinhint wordt opgenomen in de verificatieaanvraag van de toepassing.
• De tenant is gefedereerd met dat domein.

Als de domeinhint niet verwijst naar een geverifieerd federatief domein, kunt u deze negeren.

Notitie

Als een domeinhint is opgenomen in een verificatieaanvraag en moet worden gerespecteerd, overschrijft de aanwezigheid ervan automatische versnelling die is ingesteld voor de toepassing in HRD-beleid.

HRD-beleid voor automatische versnelling

Sommige toepassingen bieden geen manier om de verificatieaanvraag te configureren die ze verzenden. In dergelijke gevallen is het niet mogelijk om domeinhints te gebruiken om automatische versnelling te beheren. Automatische versnelling kan worden geconfigureerd via het detectiebeleid van Home Realm om hetzelfde gedrag te bereiken.

HRD-beleid om automatische versnelling te voorkomen

Sommige Microsoft- en SaaS-toepassingen bevatten automatisch domain_hints (bijvoorbeeld https://outlook.com/contoso.com resulteert in een aanmeldingsaanvraag met &domain_hint=contoso.com toegevoegd), waardoor de implementatie van beheerde referenties, zoals FIDO, kan worden onderbroken. U kunt het detectiebeleid van Home Realm gebruiken om domeinhints van bepaalde apps of voor bepaalde domeinen te negeren tijdens de implementatie van beheerde referenties.

Directe ROPC-verificatie van federatieve gebruikers inschakelen voor verouderde toepassingen

Aanbevolen procedure is voor toepassingen om Microsoft Entra-bibliotheken en interactieve aanmelding te gebruiken om gebruikers te verifiëren. De bibliotheken zorgen voor de federatieve gebruikersstromen. Soms worden verouderde toepassingen, met name toepassingen die gebruikmaken van ROPC (Resource Owner Password Credentials) verleend, gebruikersnaam en wachtwoord rechtstreeks naar Microsoft Entra-id verzonden en worden ze niet geschreven om federatie te begrijpen. Ze voeren geen HRD uit en communiceren niet met het juiste federatieve eindpunt om een gebruiker te verifiëren. Als u ervoor kiest, kunt u het detectiebeleid voor Thuisrealm gebruiken om specifieke verouderde toepassingen in te schakelen die referenties voor gebruikersnaam en wachtwoord indienen met behulp van de ROPC-toekenning om rechtstreeks te verifiëren met Microsoft Entra-id. Wachtwoord-hashsynchronisatie moet zijn ingeschakeld.

Belangrijk

Schakel directe verificatie alleen in als wachtwoord-hashsynchronisatie is ingeschakeld en u weet dat het geen probleem is om deze toepassing te verifiëren zonder beleid dat door uw on-premises IdP is geïmplementeerd. Als u Wachtwoord-hashsynchronisatie uitschakelt of Adreslijstsynchronisatie uitschakelt met AD-Verbinding maken om welke reden dan ook, moet u dit beleid verwijderen om te voorkomen dat directe verificatie mogelijk is met behulp van een verlopen wachtwoord-hash.

HRD-beleid instellen

Er zijn drie stappen voor het instellen van HRD-beleid voor een toepassing voor federatieve aanmelding automatisch versnellen of directe cloudtoepassingen:

1. Een HRD-beleid maken.

2. Zoek de service-principal waaraan het beleid moet worden gekoppeld.

3. Koppel het beleid aan de service-principal.

Beleidsregels worden alleen van kracht voor een specifieke toepassing wanneer ze zijn gekoppeld aan een service-principal.

Slechts één HRD-beleid kan tegelijkertijd actief zijn voor een service-principal.

U kunt de Microsoft Graph PowerShell-cmdlets gebruiken om HRD-beleid te maken en te beheren.

Het json-object is een voorbeeld van een HRD-beleidsdefinitie:

{  
  "HomeRealmDiscoveryPolicy":
  {  
    "AccelerateToFederatedDomain":true,
    "PreferredDomain":"federated.example.edu",
    "AllowCloudPasswordValidation":false
  }
}

Het beleidstype is 'HomeRealmDiscoveryPolicy'.

AccelerateToFederatedDomain is optioneel. Als AccelerateToFederatedDomain onwaar is, heeft het beleid geen invloed op automatische versnelling. Als AccelerateToFederatedDomain waar is en er slechts één geverifieerd en federatief domein in de tenant is, worden gebruikers rechtstreeks naar de federatieve IdP gebracht voor aanmelding. Als dit waar is en er meer dan één geverifieerd domein in de tenant is, moet PreferredDomain worden opgegeven.

PreferredDomain is optioneel. PreferredDomain moet een domein aangeven waarnaar moet worden versneld. Dit kan worden weggelaten als de tenant slechts één federatief domein heeft. Als dit wordt weggelaten en er meer dan één geverifieerd federatief domein is, heeft het beleid geen effect.

Als PreferredDomain is opgegeven, moet dit overeenkomen met een geverifieerd, federatief domein voor de tenant. Alle gebruikers van de toepassing moeten zich kunnen aanmelden bij dat domein. Gebruikers die zich niet kunnen aanmelden bij het federatieve domein, worden ingesloten en kunnen zich niet aanmelden.

AllowCloudPasswordValidation is optioneel. Als AllowCloudPasswordValidation waar is, mag de toepassing een federatieve gebruiker verifiëren door referenties voor gebruikersnaam en wachtwoord rechtstreeks aan het Microsoft Entra-tokeneindpunt te presenteren. Dit werkt alleen als wachtwoord-hashsynchronisatie is ingeschakeld.

Daarnaast zijn er twee HRD-opties op tenantniveau die niet worden weergegeven in de vorige sectie van dit artikel:

• AlternateIdLogin is optioneel. Als deze optie is ingeschakeld, kunnen gebruikers zich aanmelden met hun e-mailadressen in plaats van hun UPN op de aanmeldingspagina van Microsoft Entra. Alternatieve id's zijn afhankelijk van de gebruiker die niet automatisch wordt versneld naar een federatieve IDP.

• DomainHintPolicy is een optioneel complex object dat voorkomt datdomeinhints gebruikers automatisch versnellen naar federatieve domeinen. Deze tenantbrede instelling wordt gebruikt om ervoor te zorgen dat toepassingen die domeinhints verzenden, niet voorkomen dat gebruikers zich aanmelden met door de cloud beheerde referenties.

Prioriteit en evaluatie van HRD-beleid

HRD-beleid kan worden gemaakt en vervolgens worden toegewezen aan specifieke organisaties en service-principals. Dit betekent dat het mogelijk is dat meerdere beleidsregels van toepassing zijn op een specifieke toepassing, dus Microsoft Entra ID moet bepalen welke prioriteit heeft. Een set regels bepaalt welk HRD-beleid (van veel toegepaste) van kracht wordt:

• Als er een domeinhint aanwezig is in de verificatieaanvraag, wordt HRD-beleid voor de tenant (het beleid ingesteld als de standaard tenant) gecontroleerd om te zien of domeinhints moeten worden genegeerd. Als domeinhints zijn toegestaan, wordt het gedrag dat is opgegeven door de domeinhint gebruikt.

• Als een beleid expliciet is toegewezen aan de service-principal, wordt dit afgedwongen.

• Als er geen domeinhint is en er geen beleid expliciet wordt toegewezen aan de service-principal, wordt een beleid dat expliciet is toegewezen aan de bovenliggende organisatie van de service-principal afgedwongen.

• Als er geen domeinhint is en er geen beleid is toegewezen aan de service-principal of de organisatie, wordt het standaard-HRD-gedrag gebruikt.

Volgende stappen

• Aanmeldingsgedrag voor een toepassing configureren met behulp van een Detectiebeleid voor Thuisrealm
• Automatische versnelling naar een federatieve IDP uitschakelen tijdens het aanmelden van gebruikers met home realm discovery-beleid
• Verificatiescenario's voor Microsoft Entra-id