Início Realm Discovery para um aplicativo
O Home Realm Discovery (HRD) é o processo que permite que o Microsoft Entra ID determine com qual provedor de identidade (IDP) um usuário precisa se autenticar no momento do login. Quando um usuário entra em um locatário do Microsoft Entra para acessar um recurso ou na página de entrada comum do Microsoft Entra, ele digita um nome de usuário (UPN). O Microsoft Entra ID usa isso para descobrir onde o usuário precisa entrar.
O usuário é levado a um dos seguintes provedores de identidade para ser autenticado:
O locatário inicial do usuário (pode ser o mesmo locatário que o recurso que o usuário está tentando acessar).
Conta Microsoft. O usuário é um convidado no locatário de recurso que usa uma conta de consumidor para autenticação.
Um provedor de identidade local, como os Serviços de Federação do Ative Directory (ADFS).
Outro provedor de identidade federado com o locatário do Microsoft Entra.
Aceleração automática
Algumas organizações configuram domínios em seu locatário do Microsoft Entra para federar com outro IdP, como o ADFS para autenticação de usuário.
Quando um utilizador inicia sessão numa aplicação, é-lhe apresentada pela primeira vez uma página de início de sessão do Microsoft Entra. Depois de digitarem seu UPN, se estiverem em um domínio federado, serão levados para a página de entrada do IdP que serve esse domínio. Em determinadas circunstâncias, os administradores podem querer direcionar os utilizadores para a página de início de sessão quando iniciam sessão em aplicações específicas.
Como resultado, os usuários podem ignorar a página inicial do Microsoft Entra ID. Esse processo é conhecido como "aceleração automática de entrada". A Microsoft não recomenda mais configurar a aceleração automática, pois ela pode impedir o uso de métodos de autenticação mais fortes, como FIDO, e dificultar a colaboração. Consulte Ativar o início de sessão com chave de segurança sem palavra-passe para saber as vantagens de não configurar a aceleração automática. Para saber como impedir a aceleração automática de início de sessão, consulte Desativar o início de sessão de aceleração automática.
Nos casos em que o locatário é federado a outro IdP para entrada, a aceleração automática torna o login do usuário mais simplificado. Você pode configurar a aceleração automática para aplicativos individuais. Consulte Configurar aceleração automática para saber como forçar a aceleração automática usando HRD.
Nota
Se você configurar um aplicativo para aceleração automática, os usuários não poderão usar credenciais gerenciadas (como FIDO) e os usuários convidados não poderão entrar. Se você levar um usuário diretamente para um IdP federado para autenticação, não há como ele voltar para a página de entrada do Microsoft Entra. Os utilizadores convidados, que poderão ter de ser direcionados para outros inquilinos ou para um IdP externo, como uma conta Microsoft, não podem iniciar sessão nessa aplicação porque estão a ignorar o passo HRD.
Há três maneiras de controlar a aceleração automática para um IdP federado:
- Use uma dica de domínio em solicitações de autenticação para um aplicativo.
- Configure uma política de DRH para forçar a aceleração automática.
- Configure uma política de DRH para ignorar dicas de domínio de aplicativos específicos ou para determinados domínios.
Caixa de diálogo de confirmação de domínio
A partir de abril de 2023, as organizações que usam aceleração automática ou links inteligentes podem começar a ver uma nova tela adicionada à interface do usuário de entrada. Esta tela, chamada de Caixa de Diálogo de Confirmação de Domínio, faz parte do compromisso geral da Microsoft com a proteção de segurança e exige que o usuário confirme o domínio do locatário no qual está entrando.
O que precisa de fazer
Quando vir a caixa de diálogo de confirmação de domínio, deverá:
Verifique o domínio: Observe o nome de domínio listado na tela. Você deve ver o domínio do inquilino residencial da conta, por exemplo,
contoso.com
:- Se você reconhecer o domínio e ele corresponder à organização na qual você está tentando entrar, selecione Confirmar para continuar.
- Se não reconhecer o domínio , cancele o processo de início de sessão e contacte o administrador de TI (se aplicável) para obter assistência.
Esta etapa ajuda a garantir que você está entrando na organização correta.
Componentes da caixa de diálogo de confirmação de domínio
A captura de tela a seguir mostra um exemplo de como a caixa de diálogo de confirmação de domínio pode parecer para você:
O identificador na parte superior da caixa de diálogo, kelly@contoso.com
, representa o identificador usado para entrar. O domínio do locatário listado no cabeçalho e subcabeçalho da caixa de diálogo mostra o domínio do locatário doméstico da conta.
Embora a Caixa de Diálogo de Confirmação de Domínio não precise ser mostrada para todas as instâncias de aceleração automática ou links inteligentes, a Caixa de Diálogo de Confirmação de Domínio significa aceleração automática e os links inteligentes não podem mais prosseguir sem problemas quando mostrados. Se a sua organização limpar os cookies devido às políticas do navegador ou de outra forma, a caixa de diálogo de confirmação de domínio poderá ocorrer com mais frequência. Finalmente, dado que o Microsoft Entra ID gerencia o fluxo de entrada de aceleração automática de ponta a ponta, a introdução da Caixa de Diálogo de Confirmação de Domínio não deve resultar em nenhuma quebra de aplicativo.
Dicas de domínio
Dicas de domínio são diretivas incluídas na solicitação de autenticação de um aplicativo. Eles podem ser usados para acelerar o usuário para sua página de entrada IdP federada. Os aplicativos multilocatários também podem usá-los para acelerar o usuário diretamente para a página de entrada do Microsoft Entra de marca para seu locatário.
Por exemplo, o aplicativo "largeapp.com" pode permitir que seus clientes acessem o aplicativo em uma URL personalizada "contoso.largeapp.com". O aplicativo também pode incluir uma dica de domínio para contoso.com na solicitação de autenticação.
A sintaxe de dica de domínio varia dependendo do protocolo usado e é configurada no aplicativo das seguintes maneiras:
Para aplicativos que usam o parâmetro WS-Federation:
whr
query string. Por exemplo, whr=contoso.com.Para aplicativos que usam o SAML (Security Assertion Markup Language): uma solicitação de autenticação SAML que contém uma dica de domínio ou uma cadeia de caracteres de consulta whr=contoso.com.
Para aplicativos que usam o parâmetro OpenID Connect:
domain_hint
query string. Por exemplo, domain_hint=contoso.com.
Por padrão, a ID do Microsoft Entra tenta redirecionar a entrada para o IDP configurado para um domínio se ambas as situações a seguir forem verdadeiras:
- Uma dica de domínio é incluída na solicitação de autenticação do aplicativo.
- O locatário é federado com esse domínio.
Se a dica de domínio não se referir a um domínio federado verificado, você poderá ignorá-la.
Nota
Se uma dica de domínio for incluída em uma solicitação de autenticação e dever ser respeitada, sua presença substituirá a aceleração automática definida para o aplicativo na política HRD.
Política de DRH para aceleração automática
Alguns aplicativos não fornecem uma maneira de configurar a solicitação de autenticação que emitem. Nesses casos, não é possível usar dicas de domínio para controlar a aceleração automática. A aceleração automática pode ser configurada por meio da política Home Realm Discovery para obter o mesmo comportamento.
Política de DRH para evitar a aceleração automática
Alguns aplicativos Microsoft e SaaS incluem automaticamente domain_hints (por exemplo, resulta em uma solicitação de entrada com &domain_hint=contoso.com
anexo), o que pode interromper a implantação de credenciais gerenciadas, https://outlook.com/contoso.com
como FIDO. Você pode usar a política Home Realm Discovery para ignorar dicas de domínio de determinados aplicativos ou para determinados domínios, durante a distribuição de credenciais gerenciadas.
Habilite a autenticação ROPC direta de usuários federados para aplicativos herdados
A prática recomendada é que os aplicativos usem bibliotecas do Microsoft Entra e entrada interativa para autenticar usuários. As bibliotecas cuidam dos fluxos de usuários federados. Às vezes, aplicativos herdados, especialmente aplicativos que usam concessões ROPC (Resource Owner Password Credentials), enviam nome de usuário e senha diretamente para o Microsoft Entra ID e não são escritos para entender a federação. Eles não executam HRD e não interagem com o ponto de extremidade federado correto para autenticar um usuário. Se você optar por, você pode usar a política Home Realm Discovery para habilitar aplicativos herdados específicos que enviam credenciais de nome de usuário/senha usando a concessão ROPC para autenticar diretamente com o ID do Microsoft Entra, a Sincronização de Hash de Senha deve ser habilitada.
Importante
Só habilite a autenticação direta se você tiver a Sincronização de Hash de Senha ativada e souber que não há problema em autenticar esse aplicativo sem nenhuma política implementada pelo seu IdP local. Se você desativar a Sincronização de Hash de Senha ou desativar a Sincronização de Diretórios com o AD Connect por qualquer motivo, remova essa política para evitar a possibilidade de autenticação direta usando um hash de senha obsoleto.
Definir política de DRH
Há três etapas para definir a política de HRD em um aplicativo para aceleração automática de entrada federada ou aplicativos diretos baseados em nuvem:
Crie uma política de DRH.
Localize a entidade de serviço à qual anexar a política.
Anexe a política à entidade de serviço.
As políticas só entram em vigor para um aplicativo específico quando estão conectadas a uma entidade de serviço.
Apenas uma política de DRH pode estar ativa em uma entidade de serviço a qualquer momento.
Você pode usar os cmdlets do Microsoft Graph PowerShell para criar e gerenciar a política de DRH.
O objeto json é um exemplo de definição de política de DRH:
{
"HomeRealmDiscoveryPolicy":
{
"AccelerateToFederatedDomain":true,
"PreferredDomain":"federated.example.edu",
"AllowCloudPasswordValidation":false
}
}
O tipo de política é "HomeRealmDiscoveryPolicy".
AccelerateToFederatedDomain é opcional. Se AccelerateToFederatedDomain for false, a política não terá efeito sobre a aceleração automática. Se AccelerateToFederatedDomain for true e houver apenas um domínio verificado e federado no locatário, os usuários serão levados diretamente para o IdP federado para entrar. Se for verdadeiro e houver mais de um domínio verificado no locatário, PreferredDomain deverá ser especificado.
PreferredDomain é opcional. PreferredDomain deve indicar um domínio para o qual acelerar. Ele pode ser omitido se o locatário tiver apenas um domínio federado. Se for omitida e houver mais de um domínio federado verificado, a política não terá efeito.
Se PreferredDomain for especificado, ele deverá corresponder a um domínio federado verificado para o locatário. Todos os usuários do aplicativo devem ser capazes de entrar nesse domínio - os usuários que não podem entrar no domínio federado estão presos e não conseguem concluir o login.
AllowCloudPasswordValidation é opcional. Se AllowCloudPasswordValidation for true, o aplicativo terá permissão para autenticar um usuário federado apresentando credenciais de nome de usuário/senha diretamente ao ponto de extremidade do token Microsoft Entra. Isso só funciona se a Sincronização de Hash de Senha estiver habilitada.
Além disso, existem duas opções de DRH no nível do locatário, não mostradas na seção anterior deste artigo:
AlternateIdLogin é opcional. Se habilitado, AlternateLoginID permite que os usuários entrem com seus endereços de email em vez de seu UPN na página de entrada do Microsoft Entra. IDs alternativos dependem de o usuário não ser acelerado automaticamente para um IDP federado.
DomainHintPolicy é um objeto complexo opcional que impede que as dicas de domínio acelerem automaticamente os usuários para domínios federados. Essa configuração de todo o locatário é usada para garantir que os aplicativos que enviam dicas de domínio não impeçam os usuários de entrar com credenciais gerenciadas na nuvem.
Prioridade e avaliação das políticas de DHD
As políticas de DRH podem ser criadas e, em seguida, atribuídas a organizações e entidades de serviço específicas. Isso significa que é possível que várias políticas se apliquem a um aplicativo específico, portanto, o Microsoft Entra ID deve decidir qual delas tem precedência. Um conjunto de regras decide qual política de DRH (de muitas aplicadas) entra em vigor:
Se uma dica de domínio estiver presente na solicitação de autenticação, a política de DRH para o locatário (a política definida como padrão do locatário) será verificada para ver se as dicas de domínio devem ser ignoradas. Se as dicas de domínio forem permitidas, o comportamento especificado pela dica de domínio será usado.
Se uma política for atribuída explicitamente à entidade de serviço, ela será imposta.
Se não houver nenhuma dica de domínio e nenhuma política for explicitamente atribuída à entidade de serviço, uma política atribuída explicitamente à organização pai da entidade de serviço será imposta.
Se não houver nenhuma dica de domínio e nenhuma política for atribuída à entidade de serviço ou à organização, o comportamento padrão de DRH será usado.