Metody uwierzytelniania w usłudze Microsoft Entra ID — tokeny OATH
Hasło jednorazowe (TOTP) oparte na protokole OATH to otwarty standard określający sposób generowania kodów haseł jednorazowych (OTP). Protokół OATH TOTP można zaimplementować przy użyciu oprogramowania lub sprzętu w celu wygenerowania kodów. Microsoft Entra ID nie obsługuje protokołu OATH HOTP, innego standardu generowania kodu.
Tokeny oprogramowania OATH
Tokeny OATH oprogramowania to zazwyczaj aplikacje, takie jak aplikacja Microsoft Authenticator i inne aplikacje uwierzytelniającego. Identyfikator Entra firmy Microsoft generuje klucz tajny lub inicjujący dane wejściowe w aplikacji i służy do generowania każdego OTP.
Aplikacja Authenticator automatycznie generuje kody podczas konfigurowania powiadomień wypychanych, dzięki czemu użytkownik ma kopię zapasową, nawet jeśli urządzenie nie ma łączności. Mogą być również używane aplikacje innych firm korzystające z protokołu OATH TOTP do generowania kodów.
Niektóre tokeny sprzętowe OATH TOTP są programowalne, co oznacza, że nie mają klucza tajnego ani wstępnie zaprogramowanego inicjatora. Te programowalne tokeny sprzętowe można skonfigurować przy użyciu klucza tajnego lub inicjowania uzyskanego z przepływu konfiguracji tokenu oprogramowania. Klienci mogą zakupić te tokeny od wybranego dostawcy i użyć klucza tajnego lub inicjowania w procesie konfiguracji dostawcy.
Tokeny sprzętowe OATH (wersja zapoznawcza)
Identyfikator Entra firmy Microsoft obsługuje używanie tokenów SHA-1 OATH-TOTP, które odświeżają kody co 30 lub 60 sekund. Klienci mogą zakupić te tokeny od wybranego dostawcy. Tokeny OATH sprzętu są dostępne dla użytkowników z licencją Microsoft Entra ID P1 lub P2.
Ważny
Wersja zapoznawcza jest obsługiwana tylko w chmurach globalnych platformy Azure i platformy Azure Government.
Tokeny sprzętowe OATH TOTP zwykle są dostarczane z kluczem tajnym lub inicjatorem wstępnie zaprogramowanym w tokenie. Te klucze muszą być danymi wejściowymi do identyfikatora Entra firmy Microsoft, zgodnie z opisem w poniższych krokach. Klucze tajne są ograniczone do 128 znaków, które nie są zgodne z niektórymi tokenami. Klucz tajny może zawierać tylko znaki a-z lub A-Z i cyfry 2-7 i muszą być zakodowane w bazie Base32.
Programowalne tokeny sprzętowe OATH TOTP, które można ponownie przesłać, można również skonfigurować za pomocą identyfikatora Microsoft Entra w przepływie konfiguracji tokenu oprogramowania.
Tokeny sprzętowe OATH są obsługiwane w ramach publicznej wersji zapoznawczej. Aby uzyskać więcej informacji na temat wersji zapoznawczych, zobacz Dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure.
Po uzyskaniu tokenów należy przekazać je w formacie pliku wartości rozdzielanych przecinkami (CSV). Plik powinien zawierać nazwę UPN, numer seryjny, klucz tajny, interwał czasu, producent i model, jak pokazano w poniższym przykładzie:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey
Nuta
Upewnij się, że wiersz nagłówka został uwzględniny w pliku CSV.
Po poprawnym sformatowaniu pliku CSV administrator może następnie zalogować się do centrum administracyjnego firmy Microsoft Entra, przejść do pozycji Ochrona>tokenów OATH uwierzytelniania>wieloskładnikowego i przekazać wynikowy plik CSV.
W zależności od rozmiaru pliku CSV przetwarzanie może potrwać kilka minut. Wybierz przycisk Odśwież, aby uzyskać bieżący stan. Jeśli w pliku występują błędy, możesz pobrać plik CSV zawierający listę błędów, które można rozwiązać. Nazwy pól w pobranym pliku CSV różnią się od przekazanej wersji.
Po usunięciu wszelkich błędów administrator może aktywować każdy klucz, wybierając pozycję Aktywuj dla tokenu i wprowadzając protokół OTP wyświetlany w tokenie. Możesz aktywować maksymalnie 200 tokenów OATH co 5 minut.
Użytkownicy mogą mieć kombinację maksymalnie pięciu tokenów sprzętowych OATH lub aplikacji uwierzytelnianych, takich jak aplikacja Microsoft Authenticator, skonfigurowana do użycia w dowolnym momencie. Tokeny sprzętu OATH nie mogą być przypisane do użytkowników-gości w dzierżawie zasobów.
Ważny
Pamiętaj, aby przypisać tylko każdy token do pojedynczego użytkownika. W przyszłości obsługa przypisania pojedynczego tokenu do wielu użytkowników zatrzymuje się, aby zapobiec ryzyku bezpieczeństwa.
Rozwiązywanie problemów z błędem podczas przetwarzania przekazywania
Czasami mogą występować konflikty lub problemy występujące podczas przetwarzania przekazywania pliku CSV. Jeśli wystąpi jakikolwiek konflikt lub problem, otrzymasz powiadomienie podobne do następującego:
Aby określić komunikat o błędzie, upewnij się, że wybierz pozycję Wyświetl szczegóły. Zostanie otwarty blok Stan tokenu sprzętowego i zawiera podsumowanie stanu przekazywania. Pokazuje, że wystąpił błąd lub wiele błędów, jak w poniższym przykładzie:
Aby określić przyczynę błędu na liście, kliknij pole wyboru obok stanu, który chcesz wyświetlić, co aktywuje opcję Pobierz . Spowoduje to pobranie pliku CSV zawierającego zidentyfikowany błąd.
Pobrany plik ma nazwę Failures_filename.csv gdzie nazwa pliku jest nazwą przekazanego pliku. Jest on zapisywany w domyślnym katalogu pobierania dla przeglądarki.
W tym przykładzie pokazano błąd zidentyfikowany jako użytkownik, który obecnie nie istnieje w katalogu dzierżawy:
Po usunięciu wymienionych błędów przekaż plik CSV ponownie do momentu pomyślnego jego przetwarzania. Informacje o stanie każdej próby pozostają przez 30 dni. Wolumin CSV można usunąć ręcznie, klikając pole wyboru obok stanu, a następnie wybierając pozycję Usuń stan w razie potrzeby.
Określanie typu rejestracji tokenu OATH
Użytkownicy mogą zarządzać rejestracjami tokenów OATH i dodawać je, korzystając z informacji o zabezpieczeniach lub wybierając pozycję Informacje o zabezpieczeniach w obszarze Moje konto. Określone ikony służą do rozróżniania, czy rejestracja tokenu OATH jest sprzętowa czy programowa.
Typ rejestracji tokenu | Ikona |
---|---|
Token oprogramowania OATH | |
Token sprzętowy OATH |
Następne kroki
Dowiedz się więcej na temat konfigurowania metod uwierzytelniania przy użyciu interfejsu API REST programu Microsoft Graph. Dowiedz się więcej o dostawcach kluczy zabezpieczeń FIDO2, którzy są zgodni z uwierzytelnianiem bez hasła.