Общие сведения о проверке подлинности на основе сертификата Azure AD
Azure AD проверка подлинности на основе сертификатов (CBA) позволяет клиентам разрешать или требовать от пользователей проверки подлинности непосредственно с помощью сертификатов X.509 в azure Active Directory (Azure AD) для входа в приложения и браузер. Эта функция позволяет клиентам применять устойчивую к фишингу проверку подлинности и проходить проверку подлинности с помощью сертификата X.509 в инфраструктуре открытых ключей (PKI).
Что такое проверка подлинности на основе сертификатов (CBA) Azure AD?
До Azure AD поддержки CBA, управляемой облаком, клиенты должны были реализовать федеративную проверку подлинности на основе сертификатов, которая требует развертывания службы федерации Active Directory (AD FS) (AD FS), чтобы иметь возможность проходить проверку подлинности с помощью сертификатов X.509 для Azure AD. С помощью Azure AD проверки подлинности на основе сертификатов клиенты могут выполнять проверку подлинности непосредственно в Azure AD и устранять необходимость в федеративных AD FS благодаря упрощению клиентских сред и сокращению затрат.
На следующих изображениях показано, как проверка подлинности на основе сертификатов Azure AD упрощает среду клиента, устраняя потребность в федеративных AD FS.
Проверка подлинности на основе сертификатов с помощью федеративных AD FS
Проверка подлинности на основе сертификатов Azure AD
Основные преимущества использования проверки подлинности на основе сертификатов Azure AD
| Преимущества | Описание |
|---|---|
| Удобство работы для пользователей | - Пользователи, которым требуется проверка подлинности на основе сертификатов, теперь могут напрямую проходить ее в Azure AD, не вкладывая средства в федеративные AD FS. - Пользовательский интерфейс портала позволяет пользователям легко настраивать способ сопоставления полей сертификата с атрибутом объекта-пользователя для поиска пользователя в арендаторе (привязки имени пользователя сертификата). - Пользовательский интерфейс портала для настройки политик проверки подлинности, чтобы определить, какие сертификаты являются однофакторными и многофакторными. |
| Простота развертывания и администрирования | - Azure AD CBA является бесплатной функцией, и вам не нужны платные выпуски Azure AD для ее использования. - Не требуются сложные локальные развертывания или настройка сети. - Прямая проверка подлинности в Azure AD. |
| Оценка | — Локальные пароли не нужно хранить в облаке в любой форме. — Защищает учетные записи пользователей, работая с Azure AD политиками условного доступа, включая Phishing-Resistant многофакторную проверку подлинности (требуется лицензированная версия MFA) и блокирование устаревшей проверки подлинности. — Поддержка строгой проверки подлинности, при которой пользователи могут определять политики проверки подлинности с помощью полей сертификата, таких как издатель или идентификатор политики (идентификаторы объектов), чтобы определить, какие сертификаты считаются однофакторными или многофакторными. — Функция легко работает с функциями условного доступа и возможностью проверки подлинности, чтобы применить MFA для защиты пользователей. |
Поддерживаемые сценарии
Поддерживаются следующие сценарии:
- Вход пользователей в браузерные приложения на всех платформах.
- Вход пользователей в мобильные приложения Office на платформах iOS и Android, а также собственные приложения Office в Windows, включая Outlook, OneDrive и т. д.
- Вход пользователей в собственные браузеры для мобильных устройств.
- Поддержка детальных правил проверки подлинности для многофакторной проверки подлинности с помощью субъекта издателя сертификата и идентификаторов OID политики.
- Настройка привязок учетных записей между сертификатами с помощью любого из полей сертификата:
- Альтернативное имя субъекта (SAN) PrincipalName и SAN RFC822Name
- Идентификатор ключа субъекта (SKI) и SHA1PublicKey
- Настройка привязок учетных записей между сертификатами с помощью любого из атрибутов объекта пользователя:
- Имя участника-пользователя
- onPremisesUserPrincipalName
- CertificateUserIds
Неподдерживаемые сценарии
Не поддерживаются следующие сценарии:
- Указания центра сертификации не поддерживаются, поэтому список сертификатов, отображаемый для пользователей в пользовательском интерфейсе средства выбора сертификатов, не ограничен.
- Поддерживается только одна точка распространения из списка отзыва сертификатов (CDP) для доверенного центра сертификации.
- CDP может быть представлена только URL-адресами с протоколом HTTP. URL-адреса с протоколом Online Certificate Status Protocol (OCSP) или протоколом LDAP не поддерживаются.
- Настройка других привязок учетных записей с сертификатом к пользователю, таких как "Тема", "Субъект + издатель " или "Издатель + серийный номер", недоступна в этом выпуске.
- Пароль как метод проверки подлинности не может быть отключен, и возможность входа с помощью пароля отображается даже при Azure AD метода CBA, доступного для пользователя.
Известное ограничение для сертификатов Windows Hello для бизнеса
- Хотя Windows Hello для бизнеса (WHFB) можно использовать для многофакторной проверки подлинности в Azure AD, WHFB не поддерживается для новой MFA. Клиенты могут зарегистрировать сертификаты для пользователей с помощью пары ключей WHFB. При правильной настройке эти сертификаты WHFB можно использовать для многофакторной проверки подлинности в Azure AD. Сертификаты WHFB совместимы с Azure AD проверкой подлинности на основе сертификатов (CBA) в браузерах Edge и Chrome. Однако в настоящее время сертификаты WHFB несовместимы с Azure AD CBA в сценариях, отличных от браузера (например, Office 365 приложений). Обходной путь — использовать параметр "Вход Windows Hello или ключ безопасности" для входа (если он доступен), так как этот параметр не использует сертификаты для проверки подлинности и позволяет избежать проблемы с Azure AD CBA, однако этот параметр может быть недоступен в некоторых старых приложениях.
Вне области действия
Следующие сценарии не область для Azure AD CBA:
- Инфраструктура открытых ключей для создания сертификатов клиента. Клиентам требуется настроить инфраструктуру открытых ключей (PKI) и предоставить сертификаты для пользователей и устройств.
Дальнейшие действия
- Подробное техническое руководство для проверки подлинности на основе сертификатов Azure AD
- Настройка проверки подлинности на основе сертификатов Azure AD
- Azure AD CBA на устройствах iOS
- Azure AD CBA на устройствах Android
- Вход в смарт-карта Windows с помощью Azure AD CBA
- Идентификаторы пользователей сертификатов
- Как перенести федеративных пользователей
- Часто задаваемые вопросы