Co to jest uwierzytelnianie usługi Azure Active Directory?

Jedną z głównych funkcji platformy tożsamości jest weryfikowanie lub uwierzytelnianie poświadczeń, gdy użytkownik loguje się do urządzenia, aplikacji lub usługi. W usłudze Azure Active Directory (Azure AD) uwierzytelnianie obejmuje nie tylko weryfikację nazwy użytkownika i hasła. Aby zwiększyć bezpieczeństwo i zmniejszyć potrzebę pomocy technicznej, Azure AD uwierzytelnianie obejmuje następujące składniki:

  • Samoobsługowe resetowanie haseł
  • Uwierzytelnianie wieloskładnikowe w usłudze Azure AD
  • Integracja hybrydowa w celu zapisywania zmian haseł w środowisku lokalnym
  • Integracja hybrydowa w celu wymuszania zasad ochrony haseł dla środowiska lokalnego
  • Uwierzytelnianie bez hasła

Zapoznaj się z krótkim filmem wideo, aby dowiedzieć się więcej o tych składnikach uwierzytelniania.

Ulepszanie środowiska użytkownika końcowego

Azure AD pomaga chronić tożsamość użytkownika i uprościć środowisko logowania. Funkcje, takie jak samoobsługowe resetowanie hasła, umożliwiają użytkownikom aktualizowanie lub zmienianie haseł przy użyciu przeglądarki internetowej z dowolnego urządzenia. Ta funkcja jest szczególnie przydatna, gdy użytkownik zapomniał hasła lub jego konto jest zablokowane. Nie czekając na pomoc techniczną lub administratora, użytkownik może odblokować się i kontynuować pracę.

Azure AD Multi-Factor Authentication umożliwia użytkownikom wybranie dodatkowej formy uwierzytelniania podczas logowania, takiej jak połączenie telefoniczne lub powiadomienie aplikacji mobilnej. Ta możliwość zmniejsza wymaganie pojedynczej, stałej formy uwierzytelniania pomocniczego, takiego jak token sprzętowy. Jeśli użytkownik nie ma obecnie jednej formy dodatkowego uwierzytelniania, może wybrać inną metodę i kontynuować pracę.

Metody uwierzytelniania używane na ekranie logowania

Uwierzytelnianie bez hasła eliminuje konieczność utworzenia i zapamiętania bezpiecznego hasła przez użytkownika. Funkcje, takie jak Windows Hello dla firm lub FIDO2, umożliwiają użytkownikom logowanie się do urządzenia lub aplikacji bez hasła. Ta możliwość może zmniejszyć złożoność zarządzania hasłami w różnych środowiskach.

Samoobsługowe resetowanie haseł

Samoobsługowe resetowanie hasła umożliwia użytkownikom zmianę lub resetowanie hasła bez udziału administratora ani działu pomocy technicznej. Jeśli konto użytkownika jest zablokowane lub zapomni hasło, może postępować zgodnie z monitami, aby odblokować się i wrócić do pracy. Ta możliwość zmniejsza liczbę zgłoszeń do działu pomocy technicznej i utratę produktywności, gdy użytkownik nie może zalogować się do swojego urządzenia lub aplikacji.

Samoobsługowe resetowanie hasła działa w następujących scenariuszach:

  • Zmiana hasła — gdy użytkownik zna swoje hasło, ale chce zmienić je na coś nowego.
  • Resetowanie hasła — gdy użytkownik nie może się zalogować, na przykład gdy nie pamięta hasła i chce zresetować hasło.
  • Odblokowywanie konta — gdy użytkownik nie może się zalogować, ponieważ jego konto jest zablokowane i chce odblokować swoje konto.

Gdy użytkownik aktualizuje lub resetuje swoje hasło przy użyciu samoobsługowego resetowania hasła, można je również zapisać ponownie w środowisku lokalna usługa Active Directory. Zapisywanie zwrotne haseł zapewnia, że użytkownik może natychmiast używać swoich zaktualizowanych poświadczeń z urządzeniami i aplikacjami lokalnymi.

Uwierzytelnianie wieloskładnikowe w usłudze Azure AD

Uwierzytelnianie wieloskładnikowe to proces, w którym podczas procesu logowania użytkownik otrzymuje monit mający na celu uzyskanie dodatkowej formy identyfikacji, na przykład wprowadzenie kodu w telefonie komórkowym lub zeskanowanie odcisku palca.

Jeśli używasz tylko hasła do uwierzytelniania użytkownika, pozostawia niezabezpieczony wektor ataku. Jeśli hasło jest słabe lub zostało ujawnione w innym miejscu, czy to naprawdę użytkownik loguje się przy użyciu nazwy użytkownika i hasła, czy jest to osoba atakująca? Jeśli potrzebujesz drugiej formy uwierzytelniania, bezpieczeństwo jest zwiększane, ponieważ ten dodatkowy czynnik nie jest łatwy dla osoby atakującej w celu uzyskania lub zduplikowania.

Obraz koncepcyjny różnych form uwierzytelniania wieloskładnikowego

Azure AD usługa Multi-Factor Authentication działa, wymagając co najmniej dwóch następujących metod uwierzytelniania:

  • Coś, co wiesz, zazwyczaj hasło.
  • Coś, co masz, takie jak zaufane urządzenie, które nie jest łatwo zduplikowane, jak telefon lub klucz sprzętowy.
  • Coś, co jesteś - biometryczne, takie jak odcisk palca lub skanowanie twarzy.

Użytkownicy mogą zarejestrować się zarówno w celu samoobsługowego resetowania hasła, jak i Azure AD Multi-Factor Authentication w jednym kroku, aby uprościć środowisko dołączania. Administratorzy mogą definiować, jakie formy uwierzytelniania pomocniczego mogą być używane. Azure AD uwierzytelnianie wieloskładnikowe może być również wymagane, gdy użytkownicy wykonują samoobsługowe resetowanie hasła, aby dodatkowo zabezpieczyć ten proces.

Ochrona hasłem

Domyślnie Azure AD blokuje słabe hasła, takie jak Password1. Globalna lista zakazanych haseł jest automatycznie aktualizowana i wymuszana, która zawiera znane słabe hasła. Jeśli użytkownik Azure AD próbuje ustawić swoje hasło na jedno z tych słabych haseł, otrzyma powiadomienie o wybraniu bezpieczniejszego hasła.

Aby zwiększyć bezpieczeństwo, można zdefiniować niestandardowe zasady ochrony haseł. Te zasady mogą użyć filtrów, aby zablokować wszelkie odmiany hasła zawierające nazwę, taką jak Contoso lub lokalizację, taką jak Londyn, na przykład.

W przypadku zabezpieczeń hybrydowych można zintegrować ochronę haseł Azure AD ze środowiskiem lokalna usługa Active Directory. Składnik zainstalowany w środowisku lokalnym odbiera globalną listę zakazanych haseł i niestandardowe zasady ochrony haseł z Azure AD, a kontrolery domeny używają ich do przetwarzania zdarzeń zmiany hasła. To podejście hybrydowe zapewnia, że niezależnie od tego, jak i gdzie użytkownik zmienia swoje poświadczenia, wymusza użycie silnych haseł.

Uwierzytelnianie bez hasła

Celem końcowym dla wielu środowisk jest usunięcie użycia haseł w ramach zdarzeń logowania. Funkcje, takie jak ochrona haseł platformy Azure lub Azure AD Multi-Factor Authentication, pomagają zwiększyć bezpieczeństwo, ale nazwa użytkownika i hasło pozostają słabą formą uwierzytelniania, które można ujawnić lub zaatakować siłę.

Bezpieczeństwo a wygoda w przypadku procesu uwierzytelniania, który prowadzi do bez hasła

Po zalogowaniu się przy użyciu metody bez hasła poświadczenia są udostępniane przy użyciu metod, takich jak biometria z Windows Hello dla firm lub klucz zabezpieczeń FIDO2. Tych metod uwierzytelniania nie można łatwo zduplikować przez osobę atakującą.

Azure AD zapewnia sposoby natywnego uwierzytelniania przy użyciu metod bez hasła w celu uproszczenia środowiska logowania użytkowników i zmniejszenia ryzyka ataków.

Pliki cookie przeglądarki sieci Web

W przypadku uwierzytelniania w usłudze Azure Active Directory za pośrednictwem przeglądarki internetowej w procesie jest zaangażowanych wiele plików cookie. Niektóre pliki cookie są wspólne dla wszystkich żądań, inne pliki cookie są specyficzne dla niektórych konkretnych scenariuszy, tj. określonych przepływów uwierzytelniania i/lub określonych warunków po stronie klienta.

Tokeny sesji trwałej są przechowywane jako trwałe pliki cookie w pliku cookie przeglądarki internetowej, a tokeny sesji nietrwale są przechowywane jako pliki cookie sesji w przeglądarce internetowej i są niszczone po zamknięciu sesji przeglądarki.

Nazwa pliku cookie Typ Komentarze
ESTSAUTH Wspólne Zawiera informacje o sesji użytkownika ułatwiające logowanie jednokrotne. Przejściowe.
ESTSAUTHPERSISTENT Wspólne Zawiera informacje o sesji użytkownika ułatwiające logowanie jednokrotne. Trwałe.
ESTSAUTHLIGHT Wspólne Zawiera informacje o identyfikatorze GUID sesji. Lite plik cookie stanu sesji używany wyłącznie przez język JavaScript po stronie klienta w celu ułatwienia wylogowania OIDC. Funkcja zabezpieczeń.
SignInStateCookie Wspólne Zawiera listę usług, do których dostęp można ułatwić wylogowywanie. Brak informacji o użytkowniku. Funkcja zabezpieczeń.
CCState Wspólne Zawiera stan informacji o sesji, który ma być używany między Azure AD a usługą uwierzytelniania kopii zapasowej Azure AD.
buid Wspólne Śledzi informacje dotyczące przeglądarki. Służy do telemetrii usług i mechanizmów ochrony.
fpc Wspólne Śledzi informacje dotyczące przeglądarki. Służy do śledzenia żądań i ograniczania przepustowości.
esctx Wspólne Informacje o plikach cookie kontekstu sesji. W przypadku ochrony CSRF. Wiąże żądanie z określonym wystąpieniem przeglądarki, aby nie można było odtworzyć żądania poza przeglądarką. Brak informacji o użytkowniku.
ch Wspólne ProofOfPossessionCookie. Przechowuje skrót pliku cookie Proof of Possession do agenta użytkownika.
ESTSSC Wspólne Starsze pliki cookie zawierające informacje o liczbie sesji nie są już używane.
ESTSSSOTILES Wspólne Śledzi wylogowanie sesji. Jeśli jest obecny i nie wygasł, z wartością "ESTSSSOTILES=1", przerywa logowanie jednokrotne, dla określonego modelu uwierzytelniania logowania jednokrotnego i będzie przedstawiać kafelki wyboru konta użytkownika.
AADSSOTILES Wspólne Śledzi wylogowanie sesji. Podobnie jak ESTSSSOTILES, ale w przypadku innego konkretnego modelu uwierzytelniania jednokrotnego.
ESTSUSERLIST Wspólne Śledzi listę użytkowników logowania jednokrotnego przeglądarki.
SSOCOOKIEPULLED Wspólne Zapobiega zapętlaniu w określonych scenariuszach. Brak informacji o użytkowniku.
cltm Wspólne W celach telemetrycznych. Śledzi typ AppVersion, ClientFlight i Network.
brcap Wspólne Plik cookie po stronie klienta (ustawiony przez język JavaScript) w celu zweryfikowania możliwości obsługi dotykowej klienta/przeglądarki internetowej.
clrc Wspólne Plik cookie po stronie klienta (ustawiony przez język JavaScript) do kontrolowania lokalnych sesji buforowanych na kliencie.
CkTst Wspólne Plik cookie po stronie klienta (ustawiony przez język JavaScript). Nie jest już w aktywnym użyciu.
wlidperf Wspólne Plik cookie po stronie klienta (ustawiony przez język JavaScript), który śledzi czas lokalny na potrzeby wydajności.
x-ms-gateway-slice Wspólne Azure AD plik cookie bramy używany do śledzenia i równoważenia obciążenia.
stsservicecookie Wspólne plik cookie Azure AD Gateway używany również do celów śledzenia.
x-ms-refreshtokencredential Określona wersja Dostępne, gdy jest używany podstawowy token odświeżania (PRT ).
estsStateTransient Określona wersja Dotyczy tylko nowego modelu informacji o sesji. Przejściowe.
estsStatePersistent Określona wersja Taki sam jak estsStateTransient, ale trwały.
ESTSNCLOGIN Określona wersja Plik cookie związany z logowaniem do chmury krajowej.
UsGovTraffic Określona wersja US Gov Cloud Traffic Cookie.
ESTSWCTXFLOWTOKEN Określona wersja Zapisuje informacje flowToken podczas przekierowywania do usług ADFS.
CcsNtv Określona wersja Aby kontrolować, kiedy brama Azure AD będzie wysyłać żądania do usługi uwierzytelniania kopii zapasowej Azure AD. Przepływy natywne.
CcsWeb Określona wersja Aby kontrolować, kiedy brama Azure AD będzie wysyłać żądania do usługi uwierzytelniania kopii zapasowej Azure AD. Przepływy internetowe.
Ccs* Określona wersja Pliki cookie z prefiksem CCS* mają taki sam cel jak pliki cookie bez prefiksu, ale mają zastosowanie tylko wtedy, gdy usługa uwierzytelniania kopii zapasowej Azure AD jest używana.
threxp Określona wersja Służy do sterowania ograniczaniem przepustowości.
Rrc Określona wersja Plik cookie służący do identyfikowania ostatniego realizacji zaproszenia B2B.
debugowanie Określona wersja Plik cookie używany do śledzenia, czy sesja przeglądarki użytkownika jest włączona dla funkcji DebugMode.
MSFPC Określona wersja Ten plik cookie nie jest specyficzny dla żadnego przepływu ESTS, ale czasami jest obecny. Dotyczy to wszystkich witryn firmy Microsoft (po zaakceptowaniu przez użytkowników). Identyfikuje unikatowe przeglądarki internetowe odwiedzające witryny firmy Microsoft. Służy do reklam, analizy witryn i innych celów operacyjnych.

Uwaga

Pliki cookie identyfikowane jako pliki cookie po stronie klienta są ustawiane lokalnie na urządzeniu klienckim przez język JavaScript, dlatego zostaną oznaczone znakiem HttpOnly=false.

Definicje plików cookie i odpowiednie nazwy podlegają zmianie w dowolnym momencie zgodnie z wymaganiami dotyczącymi usług Azure AD.

Następne kroki

Aby rozpocząć pracę, zobacz samouczek dotyczący samoobsługowego resetowania haseł (SSPR) i Azure AD Multi-Factor Authentication.

Aby dowiedzieć się więcej na temat samoobsługowego resetowania haseł, zobacz Jak Azure AD działa samoobsługowe resetowanie haseł.

Aby dowiedzieć się więcej na temat pojęć związanych z uwierzytelnianiem wieloskładnikowym, zobacz Jak działa Azure AD Multi-Factor Authentication.