Bir uygulama için Giriş Bölgesi Bulma

Home Realm Discovery (HRD), Microsoft Entra Id'nin kullanıcının oturum açma zamanında hangi kimlik sağlayıcısıyla (IDP) kimlik doğrulaması yapması gerektiğini belirlemesine olanak tanıyan işlemdir. Kullanıcı bir kaynağa erişmek için Bir Microsoft Entra kiracısında veya Microsoft Entra ortak oturum açma sayfasında oturum açtığında, bir kullanıcı adı (UPN) yazar. Microsoft Entra Id, kullanıcının nerede oturum açması gerektiğini bulmak için bunu kullanır.

Kullanıcı, kimliğinin doğrulanması için aşağıdaki kimlik sağlayıcılarından birine alınır:

• Kullanıcının giriş kiracısı (kullanıcının erişmeye çalıştığı kaynakla aynı kiracı olabilir).

• Microsoft hesabı. Kullanıcı, kaynak kiracısında kimlik doğrulaması için bir tüketici hesabı kullanan bir konuk.

• Active Directory Federasyon Hizmetleri (AD FS) (ADFS) gibi bir şirket içi kimlik sağlayıcısı.

• Microsoft Entra kiracısıyla birleştirilmiş başka bir kimlik sağlayıcısı.

Otomatik hızlandırma

Bazı kuruluşlar, Microsoft Entra kiracılarındaki etki alanlarını, kullanıcı kimlik doğrulaması için ADFS gibi başka bir IdP ile federasyon oluşturacak şekilde yapılandırmaktadır.

Bir kullanıcı uygulamada oturum açtığında ilk olarak bir Microsoft Entra oturum açma sayfası sunulur. UPN'lerini yazdıktan sonra, federasyon etki alanındaysa, bu etki alanına hizmet veren IdP'nin oturum açma sayfasına yönlendirilirler. Belirli koşullar altında, yöneticiler belirli uygulamalarda oturum açarken kullanıcıları oturum açma sayfasına yönlendirmek isteyebilir.

Sonuç olarak kullanıcılar ilk Microsoft Entra Id sayfasını atlayabilir. Bu işleme "oturum açma otomatik hızlandırma" adı verilir. Microsoft, FIDO gibi daha güçlü kimlik doğrulama yöntemlerinin kullanılmasını önleyebildiği ve işbirliğini engelleyebileceği için otomatik hızlandırmanın artık yapılandırılmasını önermez. Otomatik hızlandırmayı yapılandırmama avantajlarını öğrenmek için bkz . Parolasız güvenlik anahtarı oturum açma özelliğini etkinleştirme. Oturum açma otomatik hızlandırmasını önlemeyi öğrenmek için bkz . Otomatik hızlandırma oturum açmayı devre dışı bırakma.

Kiracının oturum açmak için başka bir IdP'ye federasyon sağladığı durumlarda, otomatik hızlandırma kullanıcının oturum açmasını daha kolay hale getirir. Tek tek uygulamalar için otomatik hızlandırmayı yapılandırabilirsiniz. HRD kullanarak otomatik hızlandırmayı zorlamayı öğrenmek için bkz. Otomatik hızlandırmayı yapılandırma.

Not

Bir uygulamayı otomatik hızlandırma için yapılandırdığınızda, kullanıcılar yönetilen kimlik bilgilerini (FIDO gibi) kullanamaz ve konuk kullanıcılar oturum açamaz. Bir kullanıcıyı doğrudan kimlik doğrulaması için federasyon IdP'sine götürürseniz, kullanıcının Microsoft Entra oturum açma sayfasına geri dönmesine imkan yoktur. Diğer kiracılara veya Microsoft hesabı gibi bir dış IdP'ye yönlendirilmesi gerekebilecek konuk kullanıcılar, HRD adımını atladıkları için bu uygulamada oturum açamaz.

Federasyon IdP'sine otomatik hızlandırmayı denetlemenin üç yolu vardır:

• Bir uygulama için kimlik doğrulama isteklerinde etki alanı ipucu kullanın.
• Otomatik hızlandırmayı zorlamak için bir HRD ilkesi yapılandırın.
• Belirli uygulamalardan veya belirli etki alanlarından gelen etki alanı ipuçlarını yoksaymak için bir HRD ilkesi yapılandırın.

Etki Alanı Onayı İletişim Kutusu

Nisan 2023'den itibaren, otomatik hızlandırma veya akıllı bağlantılar kullanan kuruluşlar oturum açma kullanıcı arabirimine yeni bir ekran eklemeye başlayabilir. Bu ekran, Etki Alanı Onayı İletişim Kutusu olarak anılır, Microsoft'un genel güvenlik sağlamlaştırma taahhüdü kapsamındadır ve kullanıcının oturum açtıkları kiracının etki alanını onaylamasını gerektirir. Etki Alanı Onay İletişim Kutusu'nun listelendiğini ve kiracı etki alanını tanımadığınızı görürseniz kimlik doğrulama akışını iptal edin ve BT yöneticinize başvurun (varsa). Aşağıda etki alanı onay iletişim kutusunun sizin için nasıl görünebileceğine ilişkin bir örnek verilmiştir:

İletişim kutusunun en üstündeki tanımlayıcı, kelly@contoso.comoturum açmak için kullanılan tanımlayıcıyı temsil eder. İletişim kutusunun üst bilgisinde ve alt başlığında listelenen kiracı etki alanı, hesabın ev kiracısının etki alanını gösterir.

Otomatik hızlandırma veya akıllı bağlantıların her örneği için Etki Alanı Onayı İletişim Kutusu'nun gösterilmesi gerekmese de, Etki Alanı Onayı İletişim Kutusu otomatik hızlandırma anlamına gelir ve akıllı bağlantılar artık gösterildiğinde sorunsuz devam etmez. Kuruluşunuz tarayıcı ilkeleri veya başka bir nedenle tanımlama bilgilerini temizlerse, etki alanı onay iletişim kutusuyla daha sık karşılaşabilirsiniz. Son olarak, Microsoft Entra Id otomatik hızlandırma oturum açma akışını uçtan uca yönetirse, Etki Alanı Onay İletişim Kutusu'nun kullanıma sunulması herhangi bir uygulama kesintisine neden olmamalıdır.

Ayrıca, bir Kiracı Kısıtlamaları v2 (TRv2 ) ilkesi yapılandırarak Etki Alanı Onay İletişim Kutusunu gizleyebilirsiniz. TRv2 ilkesi, Etki Alanı Onay İletişim Kutusu ile aynı güvenlik duruşunu elde eder ve bu nedenle istekte bir TRv2 ilke üst bilgisi bulunduğunda Etki Alanı Onay İletişim Kutusu gizlenir.

Etki alanı ipuçları

Etki alanı ipuçları, bir uygulamadan gelen kimlik doğrulama isteğine dahil edilen yönergelerdir. Bu kullanıcılar, kullanıcıyı federasyon IdP oturum açma sayfasına hızlandırmak için kullanılabilir. Çok kiracılı uygulamalar, kullanıcıyı doğrudan kiracılarının markalı Microsoft Entra oturum açma sayfasına hızlandırmak için de kullanabilir.

Örneğin, "largeapp.com" uygulaması müşterilerinin uygulamaya "contoso.largeapp.com" özel URL'sinde erişmesini sağlayabilir. Uygulama, kimlik doğrulama isteğinde contoso.com için bir etki alanı ipucu da içerebilir.

Etki alanı ipucu söz dizimi kullanılan protokole bağlı olarak değişir ve uygulamada aşağıdaki yollarla yapılandırılır:

• WS-Federation: whr sorgu dizesi parametresini kullanan uygulamalar için. Örneğin, whr=contoso.com.

• Güvenlik Onay İşaretleme Dili (SAML) kullanan uygulamalar için: Etki alanı ipucu içeren bir SAML kimlik doğrulama isteği veya whr=contoso.com sorgu dizesi.

• OpenID Bağlan kullanan uygulamalar için: domain_hint sorgu dizesi parametresi. Örneğin, domain_hint=contoso.com.

Varsayılan olarak, aşağıdakilerin her ikisi de doğruysa, Microsoft Entra Id bir etki alanı için yapılandırılmış IDP'ye oturum açmayı yeniden yönlendirmeyi dener:

• Uygulamadan gelen kimlik doğrulama isteğine bir etki alanı ipucu eklenir.
• Kiracı bu etki alanıyla birleştirilir.

Etki alanı ipucu doğrulanmış bir federasyon etki alanına başvurmuyorsa, bunu yoksayabilirsiniz.

Not

Bir etki alanı ipucu bir kimlik doğrulama isteğine dahil edilmişse ve dikkate alınması gerekiyorsa, iletişim durumu HRD ilkesinde uygulama için ayarlanan otomatik hızlandırmayı geçersiz kılar.

Otomatik hızlandırma için HRD ilkesi

Bazı uygulamalar, yaydıkları kimlik doğrulama isteğini yapılandırmak için bir yol sağlamaz. Bu gibi durumlarda, otomatik hızlandırmayı denetlemek için etki alanı ipuçlarını kullanmak mümkün değildir. Otomatik hızlandırma, aynı davranışı elde etmek için Giriş Bölgesi Bulma ilkesi aracılığıyla yapılandırılabilir.

Otomatik hızlandırmayı önlemek için HRD ilkesi

Bazı Microsoft ve SaaS uygulamaları otomatik olarak domain_hints içerir (örneğin, https://outlook.com/contoso.com eklenmiş bir oturum açma isteğiyle &domain_hint=contoso.com sonuçlanır), bu da FIDO gibi yönetilen kimlik bilgilerinin dağıtımını kesintiye uğratabilir. Yönetilen kimlik bilgilerinin dağıtımı sırasında belirli uygulamalardan veya belirli etki alanlarından gelen etki alanı ipuçlarını yoksaymak için Giriş Bölgesi Bulma ilkesini kullanabilirsiniz.

Eski uygulamalar için federasyon kullanıcılarının doğrudan ROPC kimlik doğrulamasını etkinleştirme

En iyi yöntem, uygulamaların kullanıcıların kimliğini doğrulamak için Microsoft Entra kitaplıklarını ve etkileşimli oturum açmayı kullanmasıdır. Kitaplıklar federasyon kullanıcı akışlarıyla ilgilenir. Bazen eski uygulamalar, özellikle Kaynak Sahibi Parola Kimlik Bilgileri (ROPC) izinleri kullanan uygulamalar, kullanıcı adı ve parolayı doğrudan Microsoft Entra Kimliği'ne gönderir ve federasyonu anlamak için yazılamaz. HRD gerçekleştirmez ve kullanıcının kimliğini doğrulamak için doğru federasyon uç noktasıyla etkileşim kurmaz. İsterseniz, Doğrudan Microsoft Entra Id ile kimlik doğrulaması yapmak için ROPC iznini kullanarak kullanıcı adı/parola kimlik bilgilerini gönderen belirli eski uygulamaları etkinleştirmek için Giriş Bölgesi Bulma ilkesini kullanabilirsiniz. Parola Karması Eşitleme etkinleştirilmelidir.

Önemli

Doğrudan kimlik doğrulamasını yalnızca Parola Karması Eşitlemesi açıksa ve şirket içi IdP'niz tarafından uygulanan ilkeler olmadan bu uygulamanın kimliğini doğrulamanın sorun olmadığını biliyorsanız etkinleştirin. Parola Karması Eşitleme'yi kapatırsanız veya herhangi bir nedenle AD Bağlan ile Dizin Eşitleme'yi kapatırsanız, eski parola karması kullanarak doğrudan kimlik doğrulaması olasılığını önlemek için bu ilkeyi kaldırmanız gerekir.

HRD ilkesini ayarlama

Federasyon oturum açma Otomatik hızlandırma veya doğrudan bulut tabanlı uygulamalar için bir uygulamada HRD ilkesini ayarlamanın üç adımı vardır:

1. BIR HRD ilkesi oluşturun.

2. İlkenin eklendiği hizmet sorumlusunu bulun.

3. İlkeyi hizmet sorumlusuna ekleyin.

İlkeler yalnızca bir hizmet sorumlusuna bağlı olan belirli bir uygulama için geçerli olur.

Bir hizmet sorumlusunda bir kerede yalnızca bir HRD ilkesi etkin olabilir.

HRD ilkesi oluşturmak ve yönetmek için Microsoft Graph PowerShell cmdlet'lerini kullanabilirsiniz.

Json nesnesi örnek bir HRD ilke tanımıdır:

{  
  "HomeRealmDiscoveryPolicy":
  {  
    "AccelerateToFederatedDomain":true,
    "PreferredDomain":"federated.example.edu",
    "AllowCloudPasswordValidation":false
  }
}

İlke türü"HomeRealmDiscoveryPolicy"dir.

AccelerateToFederatedDomain isteğe bağlıdır. AccelerateToFederatedDomain yanlışsa, ilkenin otomatik hızlandırma üzerinde hiçbir etkisi yoktur. AccelerateToFederatedDomain doğruysa ve kiracıda yalnızca bir doğrulanmış ve federasyon etki alanı varsa, kullanıcılar oturum açmak için doğrudan federasyon IdP'sine yönlendirilir. Bu doğruysa ve kiracıda birden fazla doğrulanmış etki alanı varsa PreferredDomain belirtilmelidir.

PreferredDomain isteğe bağlıdır. PreferredDomain , hızlandırılması gereken bir etki alanını göstermelidir. Kiracıda yalnızca bir federasyon etki alanı varsa atlanabilir. Atlanırsa ve birden fazla doğrulanmış federasyon etki alanı varsa ilkenin hiçbir etkisi olmaz.

PreferredDomain belirtilirse, kiracı için doğrulanmış, federasyon etki alanıyla eşleşmelidir. Uygulamanın tüm kullanıcılarının bu etki alanında oturum açabilmesi gerekir. Federasyon etki alanında oturum açamayan kullanıcılar kapana kısılır ve oturum açma işlemini tamamlayamaz.

AllowCloudPasswordValidation isteğe bağlıdır. AllowCloudPasswordValidation true ise, uygulamanın kullanıcı adı/parola kimlik bilgilerini doğrudan Microsoft Entra belirteci uç noktasına sunarak federasyon kullanıcı kimliğini doğrulamasına izin verilir. Bu yalnızca Parola Karması Eşitleme etkinleştirildiğinde çalışır.

Ayrıca, bu makalenin önceki bölümünde gösterilmeyen iki kiracı düzeyinde HRD seçeneği vardır:

• AlternateIdLogin isteğe bağlıdır. Etkinleştirilirse, AlternateLoginIDkullanıcıların Microsoft Entra oturum açma sayfasında UPN'leri yerine e-posta adresleriyle oturum açmasına olanak tanır. Alternatif kimlikler, kullanıcının federasyon IDP'sine otomatik olarak hızlandırılmamasını sağlar.

• DomainHintPolicy, etki alanı ipuçlarının kullanıcıları federasyon etki alanlarına otomatik olarak hızlandırmasını engelleyen isteğe bağlı bir karmaşık nesnedir. Kiracı genelindeki bu ayar, etki alanı ipuçları gönderen uygulamaların kullanıcıların bulut tarafından yönetilen kimlik bilgileriyle oturum açmasını engellemediğinden emin olmak için kullanılır.

HRD ilkelerinin önceliği ve değerlendirmesi

HRD ilkeleri oluşturulabilir ve ardından belirli kuruluşlara ve hizmet sorumlularına atanabilir. Bu, belirli bir uygulamaya birden çok ilkenin uygulanacağı anlamına gelir, bu nedenle hangisinin öncelikli olduğuna Microsoft Entra Id karar vermelidir. Bir dizi kural, hangi HRD ilkesinin (uygulanan birçok ilkenin) etkinleşeceğine karar verir:

• Kimlik doğrulama isteğinde bir etki alanı ipucu varsa, etki alanı ipuçlarının yoksayılıp yoksayılmaması gerektiğini görmek için kiracının HRD ilkesi (kiracı varsayılanı olarak ayarlanan ilke) denetlenirse. Etki alanı ipuçlarına izin veriliyorsa, etki alanı ipucu tarafından belirtilen davranış kullanılır.

• Bir ilke açıkça hizmet sorumlusuna atanırsa, uygulanır.

• Etki alanı ipucu yoksa ve hizmet sorumlusuna açıkça hiçbir ilke atanmamışsa, hizmet sorumlusunun üst kuruluşuna açıkça atanmış bir ilke zorlanır.

• Etki alanı ipucu yoksa ve hizmet sorumlusuna veya kuruluşa hiçbir ilke atanmamışsa, varsayılan HRD davranışı kullanılır.

Sonraki adımlar

• Giriş Bölgesi Bulma ilkesi kullanarak bir uygulama için oturum açma davranışını yapılandırma
• Home Realm Discovery ilkesiyle kullanıcı oturum açma sırasında federasyon IDP'sine otomatik hızlandırmayı devre dışı bırakma
• Microsoft Entra Id için kimlik doğrulama senaryoları