Azure Active Directory'de kimlik doğrulama yöntemleri - OATH belirteçleri

  • Makale
  • Okumak için 2 dakika

OATH TOTP (Zaman Tabanlı Tek Seferlik Parola), tek seferlik parola (OTP) kodlarının nasıl oluşturulduğunu belirten açık bir standarttır. OATH TOTP, kodları oluşturmak için yazılım veya donanım kullanılarak uygulanabilir. Azure AD, farklı bir kod oluşturma standardı olan OATH HOTP'yi desteklemez.

OATH yazılım belirteçleri

Yazılım OATH belirteçleri genellikle Microsoft Authenticator uygulaması ve diğer kimlik doğrulayıcı uygulamaları gibi uygulamalardır. Azure AD, uygulamaya giriş olarak verilen ve OTP'yi oluşturmak için kullanılan gizli anahtarı veya çekirdeği oluşturur.

Authenticator uygulaması, anında iletme bildirimleri yapmak üzere ayarlandığında otomatik olarak kod oluşturur, böylece kullanıcının cihazı bağlantısı olmasa bile yedeği olur. Kod oluşturmak için OATH TOTP kullanan üçüncü taraf uygulamalar da kullanılabilir.

Bazı OATH TOTP donanım belirteçleri programlanabilir, yani gizli anahtar veya önceden programlanmış bir tohumla gelmezler. Bu programlanabilir donanım belirteçleri, yazılım belirteci kurulum akışından alınan gizli anahtar veya tohum kullanılarak ayarlanabilir. Müşteriler bu belirteçleri tercih ettikleri satıcıdan satın alabilir ve satıcının kurulum sürecinde gizli anahtarı veya tohumu kullanabilir.

OATH donanım belirteçleri (Önizleme)

Azure AD, her 30 veya 60 saniyede bir yenilenen OATH-TOTP SHA-1 belirteçlerinin kullanımını destekler. Müşteriler bu belirteçleri tercih ettikleri satıcıdan satın alabilir. Donanım OATH belirteçleri, Azure AD Premium P1 veya P2 lisansına sahip kullanıcılar için kullanılabilir.

Önemli

Önizleme yalnızca Azure Genel ve Azure Kamu bulutlarında desteklenir.

OATH TOTP donanım belirteçleri genellikle belirteçte önceden programlanmış bir gizli anahtar veya çekirdek ile birlikte gelir. Bu anahtarların aşağıdaki adımlarda açıklandığı gibi Azure AD girilmesi gerekir. Gizli anahtarlar, tüm belirteçlerle uyumlu olmayan 128 karakterle sınırlıdır. Gizli anahtar yalnızca a-z veya A-Z karakterlerini ve 2-7 basamaklarını içerebilir ve Base32'de kodlanmalıdır.

Yeniden görüntülenebilen programlanabilir OATH TOTP donanım belirteçleri, yazılım belirteci kurulum akışındaki Azure AD ile de ayarlanabilir.

OATH donanım belirteçleri genel önizleme kapsamında desteklenir. Önizlemeler hakkında daha fazla bilgi için bkz . Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

OATH belirteçlerini MFA OATH belirteçleri dikey penceresine yükleme

Belirteçler alındıktan sonra, aşağıdaki örnekte gösterildiği gibi UPN, seri numarası, gizli anahtar, zaman aralığı, üretici ve model gibi virgülle ayrılmış değerler (CSV) dosya biçiminde karşıya yüklenmelidir:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Not

ÜST bilgi satırını CSV dosyanıza eklediğinizden emin olun.

Csv dosyası olarak düzgün biçimlendirildikten sonra genel yönetici Azure portal oturum açabilir, Azure Active Directory>Güvenliği>Çok Faktörlü kimlik doğrulaması>OATH belirteçlerine gidebilir ve sonuçta elde edilen CSV dosyasını karşıya yükleyebilir.

CSV dosyasının boyutuna bağlı olarak işlenmesi birkaç dakika sürebilir. Geçerli durumu almak için Yenile düğmesini seçin. Dosyada herhangi bir hata varsa, çözmeniz gereken hataları listeleyen bir CSV dosyası indirebilirsiniz. İndirilen CSV dosyasındaki alan adları karşıya yüklenen sürümden farklıdır.

Herhangi bir hata giderildikten sonra yönetici, belirteç için Etkinleştir'i seçip belirteçte görüntülenen OTP'yi girerek her anahtarı etkinleştirebilir. Her 5 dakikada bir en fazla 200 OATH belirtecini etkinleştirebilirsiniz.

Kullanıcılar, istedikleri zaman kullanım için yapılandırılan Microsoft Authenticator uygulaması gibi beş adede kadar OATH donanım belirteci veya kimlik doğrulayıcı uygulamasının birleşimine sahip olabilir. Donanım OATH belirteçleri, kaynak kiracıdaki konuk kullanıcılara atanamaz.

Önemli

Her belirteci yalnızca tek bir kullanıcıya atadığınızdan emin olun. Gelecekte, bir güvenlik riskini önlemek için tek bir belirtecin birden çok kullanıcıya atanması desteği durdurulacaktır.

mysecurityinfo içindeki OATH belirteci kayıt türünü belirleme

Kullanıcılar, OATH belirteci kayıtlarını erişimiyle https://aka.ms/mysecurityinfo veya Hesabım'dan Güvenlik bilgileri'ne tıklayarak yönetebilir ve ekleyebilir. OATH belirteci kaydının donanım veya yazılım tabanlı olup olmadığını ayırt etmek için belirli simgeler kullanılır.

OATH belirteci kayıt türü Simge
OATH yazılım belirteci Yazılım OATH belirteci
OATH donanım belirteci Donanım OATH belirteci

Sonraki adımlar

Microsoft Graph REST API'sini kullanarak kimlik doğrulama yöntemlerini yapılandırma hakkında daha fazla bilgi edinin. Parolasız kimlik doğrulamasıyla uyumlu FIDO2 güvenlik anahtarı sağlayıcıları hakkında bilgi edinin.