Методы проверки подлинности в идентификаторе Microsoft Entra — OATH-токены

  • Статья

Однократный пароль (TOTP) на основе OATH — это открытый стандарт, указывающий, как создаются коды одноразового пароля (OTP). OATH TOTP можно реализовать с помощью программного или аппаратного обеспечения для создания кодов. Идентификатор Microsoft Entra не поддерживает HOTP OATH, другой стандарт создания кода.

Программные маркеры OATH

Программные маркеры OATH, как правило, представляют собой приложение (например, Microsoft Authenticator и ряд других). Microsoft Entra ID создает секретный ключ или начальное значение, которое вводится в приложение и используется для создания каждого OTP.

Приложение Microsoft Authenticator автоматически создает коды при настройке для отправки push-уведомлений, чтобы пользователь имел резервную копию, даже если устройства не подключены. Также можно использовать сторонние приложения, использующие OATH TOTP для создания кодов.

Некоторые аппаратные маркеры OATH TOTP программируются, что означает, что они не приходят с секретным ключом или предварительно пропрограммированы. Эти программируемые аппаратные маркеры можно настроить с помощью секретного ключа или начального значения, полученного в процессе настройки программного маркера. Клиенты могут приобрести эти маркеры у любого выбранного поставщика и использовать секретный ключ или начальное значение в предусмотренном поставщиком процессе настройки.

Аппаратные маркеры OATH (предварительная версия)

Microsoft Entra ID поддерживает использование токенов OATH-TOTP SHA-1, обновляющих коды каждые 30 или 60 секунд. Клиенты могут приобрести эти маркеры у любого поставщика по выбору. Аппаратные токены OATH доступны для пользователей с лицензией Microsoft Entra ID P1 или P2.

Внимание

Предварительная версия поддерживается только в глобальных и Azure для государственных организаций облаках Azure.

Аппаратные маркеры OATH TOTP, как правило, поставляются с предварительно запрограммированным в маркере секретным ключом или начальным значением. Эти ключи должны быть вводимы в идентификатор Microsoft Entra, как описано в следующих шагах. Секретные ключи ограничены 128 символами, которые несовместимы с некоторыми токенами. Секретный ключ может содержать только символы a–z или A–Z и цифры 2–7. Кроме того, он должен иметь кодировку Base32.

Программируемые аппаратные маркеры OATH TOTP, которые можно изменить, также можно настроить с помощью идентификатора Microsoft Entra в потоке установки маркера программного обеспечения.

Аппаратные маркеры OATH поддерживаются как часть общедоступной предварительной версии. См. подробные сведения о дополнительных условиях использования предварительных выпусков Microsoft Azure.

Снимок экрана: управление токенами OATH.

После получения маркеров их необходимо передать в формате CSV-файла с разделием запятыми. Файл должен содержать имя участника-участника, серийный номер, секретный ключ, интервал времени, производитель и модель, как показано в следующем примере:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Примечание.

Убедитесь, что вы включили строку заголовка в CSV-файл.

После правильного форматирования в формате CSV-файла глобальный Администратор istrator может войти в Центр администрирования Microsoft Entra, перейти к маркерам OATH многофакторной проверки подлинности>Защиты>и отправить полученный CSV-файл.

В зависимости от размера CSV-файла может потребоваться несколько минут. Нажмите кнопку Обновить, чтобы получить сведения о текущим состоянии. Если в файле есть ошибки, можно скачать CSV-файл с указанием любых ошибок, чтобы устранить их. Имена полей в скачанном CSV-файле отличаются от загруженной версии.

После решения любых ошибок администратор может активировать каждый ключ, выбрав "Активировать для маркера" и введя OTP, отображаемый на маркере. Активировать можно не более 200 маркеров OATH каждые 5 минут.

Пользователи могут настроить сочетание до 5 аппаратных OATH-токенов или приложений проверки подлинности, таких как приложение Microsoft Authenticator, для использования в любое время. Аппаратные токены OATH не могут быть назначены гостевым пользователям в клиенте ресурсов.

Внимание

Не забудьте назначить каждому токену только одному пользователю. В будущем поддержка назначения одного маркера нескольким пользователям останавливается, чтобы предотвратить риск безопасности.

Устранение неполадок при обработке отправки

Иногда могут возникнуть конфликты или проблемы, возникающие при обработке отправки CSV-файла. Если возникает конфликт или проблема, вы получите уведомление, аналогичное следующему:

Снимок экрана: пример ошибки отправки.

Чтобы определить сообщение об ошибке, убедитесь, что выберите "Просмотреть сведения". Откроется колонка состояния токена оборудования и содержит сводку о состоянии отправки. В нем показано, что произошел сбой или несколько сбоев, как показано в следующем примере:

Снимок экрана: пример состояния токена оборудования.

Чтобы определить причину сбоя, щелкните поле проверка box рядом с состоянием, которое необходимо просмотреть, которое активирует параметр "Скачать". При этом загружается CSV-файл, содержащий обнаруженную ошибку.

Снимок экрана: пример состояния скачивания.

Скачанный файл называется Failures_filename.csv где имя файла — имя отправленного файла. Он сохраняется в каталоге загрузки по умолчанию для браузера.

В этом примере показана ошибка, определяемая как пользователь, который в настоящее время не существует в каталоге клиента:

Снимок экрана: пример причины ошибки.

После решения перечисленных ошибок отправьте CSV-файл еще раз, пока он не будет успешно обрабатываться. Сведения о состоянии каждой попытки остаются в течение 30 дней. CSV-файл можно удалить вручную, щелкнув проверка box рядом с состоянием, а затем выбрав состояние "Удалить", если это необходимо.

Определение типа регистрации токена OATH

Пользователи могут управлять регистрацией токенов OATH, используя mysecurityinfo или выбрав сведения о безопасности из моей учетной записи. Специальные значки используются для различения того, является ли регистрация токена OATH аппаратной или программной базой.

Тип регистрации токена Icon
Программный маркер OATH Токен OATH программного обеспечения
Токен оборудования OATH Аппаратный токен OATH

Следующие шаги

Узнайте, как настроить способы проверки подлинности с помощью REST API Microsoft Graph. Сведения о поставщиках ключей безопасности FIDO2, которые поддерживают проверку подлинности без пароля.