Microsoft Entra sertifika tabanlı kimlik doğrulamasıyla ilgili sınırlamalar
Bu konu, Microsoft Entra sertifika tabanlı kimlik doğrulaması için desteklenen ve desteklenmeyen senaryoları kapsar.
Desteklenen senaryolar
Aşağıdaki senaryolar desteklenir:
- Tüm platformlarda web tarayıcısı tabanlı uygulamalarda kullanıcı oturum açma işlemleri.
- Outlook, OneDrive vb. gibi Office mobil uygulamalarında kullanıcı oturum açma işlemleri.
- Mobil yerel tarayıcılarda kullanıcı oturum açma işlemleri.
- Sertifika veren Konu ve ilke OID'lerini kullanarak çok faktörlü kimlik doğrulaması için ayrıntılı kimlik doğrulama kuralları desteği.
- Sertifika alanlarından herhangi birini kullanarak sertifikadan kullanıcıya hesap bağlamalarını yapılandırma:
- Konu Diğer Adı (SAN) PrincipalName ve SAN RFC822Name
- Konu Anahtarı Tanımlayıcısı (SKI) ve SHA1PublicKey
- Kullanıcı nesnesi özniteliklerinden herhangi birini kullanarak sertifikadan kullanıcıya hesap bağlamalarını yapılandırma:
- Kullanıcı Asıl Adı
- onPremisesUserPrincipalName
- CertificateUserIds
Desteklenmeyen senaryolar
Aşağıdaki senaryolar desteklenmez:
- İstemci sertifikaları oluşturmak için Ortak Anahtar Altyapısı. Müşterilerin kendi Ortak Anahtar Altyapısını (PKI) yapılandırması ve kullanıcılarına ve cihazlarına sertifika sağlaması gerekir.
- Sertifika Yetkilisi ipuçları desteklenmez, bu nedenle kullanıcı arabirimindeki kullanıcılar için görüntülenen sertifika listesinin kapsamı kapsam dahilinde değildir.
- Güvenilen CA için yalnızca bir CRL Dağıtım Noktası (CDP) desteklenir.
- CDP yalnızca HTTP URL'leri olabilir. Çevrimiçi Sertifika Durum Protokolü (OCSP) veya Basit Dizin Erişim Protokolü (LDAP) URL'lerini desteklemiyoruz.
- Konu + veren veya Veren + Seri Numarası gibi diğer sertifikadan kullanıcıya hesap bağlamalarını yapılandırmak bu sürümde kullanılamaz.
- Şu anda, CBA etkinleştirildiğinde ve parola kullanarak oturum açma seçeneği görüntülendiğinde parola devre dışı bırakılamaz.
Desteklenen işletim sistemleri
| İşletim sistemi | Cihazda sertifika/Türetilmiş PIV | Akıllı kartlar |
|---|---|---|
| Windows | ✅ | ✅ |
| macOS | ✅ | ✅ |
| iOS | ✅ | Yalnızca desteklenen satıcılar |
| Android | ✅ | Yalnızca desteklenen satıcılar |
Desteklenen tarayıcılar
| İşletim sistemi | Cihazdaki Chrome sertifikası | Chrome akıllı kart | Cihazda Safari sertifikası | Safari akıllı kartı | Cihazdaki Edge sertifikası | Edge akıllı kartı |
|---|---|---|---|---|---|---|
| Windows | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| macOS | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
| iOS | ❌ | ❌ | ✅ | Yalnızca desteklenen satıcılar | ❌ | ❌ |
| Android | ✅ | ❌ | Geçersiz | Geçersiz | ❌ | ❌ |
Dekont
iOS ve Android mobil cihazlarda, Edge tarayıcı kullanıcıları Hesap ekle akışı gibi Microsoft Kimlik Doğrulama Kitaplığı'nı (MSAL) kullanarak bir profil ayarlamak için Edge'de oturum açabilir. Edge'de bir profille oturum açıldığında CBA, cihaz içi sertifikalar ve akıllı kartlarla desteklenir.
Akıllı kart sağlayıcıları
| Provider | Windows | Mac OS | iOS | Android |
|---|---|---|---|---|
| YubiKey | ✅ | ✅ | ✅ | ✅ |