Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Home Realm Discovery (HRD), Microsoft Entra Id'nin oturum açma sırasında kullanıcı kimlik doğrulaması için uygun kimlik sağlayıcısını (IDP) tanımlamasını sağlar. Kullanıcılar bir kaynağa veya ortak oturum açma sayfasına erişmek için Bir Microsoft Entra kiracısında oturum açtıklarında, bir kullanıcı adı (UPN) girerler. Microsoft Entra Id, doğru oturum açma konumunu belirlemek için bu bilgileri kullanır.
Kullanıcılar kimlik doğrulaması için aşağıdaki kimlik sağlayıcılarından birine yönlendirilir:
- Kullanıcının ev kiracısı (kaynak kiracıyla aynı olabilir).
- Kullanıcı, bir tüketici hesabı kullanan kaynak kiracısında misafir ise Microsoft hesabı.
- Active Directory Federasyon Hizmetleri (ADFS) gibi bir şirket içi kimlik sağlayıcısı.
- Microsoft Entra kiracısıyla federasyon içinde olan başka bir kimlik sağlayıcısı.
Otomatik hızlandırma
Kuruluşlar, kullanıcı kimlik doğrulaması için Microsoft Entra kiracılarındaki etki alanlarını, ADFS gibi başka bir Kimlik Sağlayıcı (IdP) ile federasyon kuracak şekilde yapılandırabilir. Kullanıcılar bir uygulamada oturum açtıklarında başlangıçta bir Microsoft Entra oturum açma sayfası görürler. Bunlar bir federasyon etki alanına aitse, bu etki alanının IdP'nin oturum açma sayfasına yönlendirilir. Yöneticiler, "oturum açma otomatik hızlandırma" olarak bilinen belirli uygulamalar için ilk Microsoft Entra ID sayfasını atlamak isteyebilir.
Microsoft, otomatik hızlandırmanın yapılandırılmasına karşı tavsiyede bulunur çünkü bu, FIDO ve işbirliği gibi daha güçlü kimlik doğrulama yöntemlerini engelleyebilir. Daha fazla bilgi için bkz. Parolasız güvenlik anahtarı oturum açmayı etkinleştirme. Otomatik oturum açma ivmelendirmesini nasıl önleyeceğinizi öğrenmek için bkz Oturum açmada otomatik ivmelendirmeyi devre dışı bırakma.
Otomatik hızlandırma mekanizması, başka bir kimlik sağlayıcısı (IdP) ile federasyon kurmuş kiracıların oturum açma sürecini kolaylaştırabilir. Tek tek uygulamalar için yapılandırabilirsiniz. HRD kullanarak otomatik hızlandırmayı zorlamayı öğrenmek için bkz. Otomatik hızlandırmayı yapılandırma.
Not
Bir uygulamayı otomatik hızlandırma için yapılandırmak, kullanıcıların yönetilen kimlik bilgilerini (FIDO gibi) ve konuk kullanıcıların oturum açmasını engeller. Kullanıcıları kimlik doğrulaması için federasyon IdP'sine yönlendirmek, Microsoft Entra oturum açma sayfasını atlayarak konuk kullanıcıların diğer kiracılara veya Microsoft hesapları gibi dış IDP'lere erişmesini engeller.
Federe IdP'ye otomatik hızlandırmayı üç şekilde kontrol etme:
- Bir uygulama için kimlik doğrulama isteklerinde etki alanı ipucu kullanın.
- Otomatik hızlandırmayı zorlamak için bir HRD ilkesi yapılandırın.
- Belirli uygulamalar veya etki alanları için etki alanı ipuçlarını yoksaymak üzere bir HRD ilkesi yapılandırın.
Alan Adı Onayı İletişim Kutusu
Nisan 2023'den itibaren, otomatik hızlandırma veya akıllı bağlantılar kullanan kuruluşlar, oturum açma kullanıcı arabiriminde Etki Alanı Onay İletişim Kutusu olarak adlandırılan yeni bir ekranla karşılaşabilir. Bu ekran, Microsoft'un güvenlik sağlamlaştırma çalışmalarının bir parçasıdır ve kullanıcıların oturum açtıkları kiracının etki alanını onaylamasını gerektirir.
Yapmanız Gerekenler
Etki Alanı Onayı İletişim Kutusu'na baktığınızda:
-
Etki alanını denetleyin: Ekrandaki etki alanı adının oturum açmayı planladığınız kuruluşla eşleştiklerini doğrulayın, örneğin
contoso.com.- Etki alanıtanırsanız devam etmek için onayla'yı seçin.
- Etki alanıtanımıyorsanız, oturum açma işlemini iptal edin ve yardım için BT Yöneticinize başvurun.
Alan Onayı Diyalog Kutusunun Bileşenleri
Aşağıdaki ekran görüntüsünde, etki alanı onay iletişim kutusunun sizin için nasıl görünebileceğine ilişkin bir örnek gösterilmektedir:
İletişim kutusunun en üstündeki tanımlayıcı, kelly@contoso.comoturum açmak için kullanılan tanımlayıcıyı temsil eder. İletişim kutusunun başlık ve alt başlığında listelenen kiracı etki alanı, hesabın ana kiracısının etki alanını gösterir.
Her otomatik hızlandırma veya akıllı bağlantı durumunda bu pencere görünmeyebilir. Kuruluşunuz tarayıcı ilkeleri nedeniyle tanımlama bilgilerini temizlerse sık sık alan onay iletişim kutuları oluşabilir. Microsoft Entra ID otomatik hızlandırma oturum açma akışını yönettiğinden, Etki Alanı Onayı İletişim Kutusu uygulama kesintilerine neden olmamalıdır.
Etki Alanı İpuçları
Etki alanı ipuçları, uygulamalardan gelen kimlik doğrulama isteklerinde kullanıcıları federasyon IdP oturum açma sayfalarına hızlandırabilen yönergelerdir. Çok kiracılı uygulamalar, kullanıcıları kiracılarının markalı Microsoft Entra oturum açma sayfasına yönlendirmek için kullanabilir.
Örneğin, "largeapp.com" özel bir URL "contoso.largeapp.com" üzerinden erişime izin verebilir ve kimlik doğrulama isteğine contoso.com için bir etki alanı ipucu içerebilir.
Etki alanı ipucu söz dizimi protokole göre değişir:
-
WS-Federation: sorgu dizesi parametresini
whr, örneğin,whr=contoso.com. -
SAML: Etki alanı ipucu veya
whr=contoso.comile SAML kimlik doğrulama isteği. -
OpenID Connect:
domain_hintsorgu dizesi parametresi, örneğindomain_hint=contoso.com.
Microsoft Entra ID, aşağıdaki iki durumun her ikisi de doğruysa, oturum açmayı bir etki alanı için yapılandırılmış IDP'ye yönlendirir:
- Kimlik doğrulama isteğine bir etki alanı ipucu eklenir.
- Kiracı bu etki alanıyla federa edilmiştir.
Etki alanı ipucu doğrulanmış bir federal etki alanına başvurmazsa görmezden gelinebilir.
Not
Kimlik doğrulama isteğindeki etki alanı ipucu, HRD politikasında uygulama için ayarlanmış otomatik hızlandırma ayarını geçersiz kılar.
Otomatik hızlandırma için HRD İlkesi
Bazı uygulamalar kimlik doğrulama isteklerinin yapılandırılmasına izin vermez. Böyle durumlarda, otomatik hızlandırmayı denetlemek için etki alanı ipuçlarını kullanmak mümkün değildir. Otomatik hızlandırmayı yapılandırmak için Giriş Bölgesi Bulma ilkesini kullanın.
Otomatik hızlandırmayı Önlemek için HRD İlkesi
Bazı Microsoft ve SaaS uygulamaları, FIDO gibi yönetilen kimlik bilgileri dağıtımlarını kesintiye uğratabilecek etki alanı ipuçlarını otomatik olarak içerir. Belirli uygulamalardan veya etki alanlarından gelen etki alanı ipuçlarını yönetilen kimlik bilgisi dağıtımları sırasında yoksaymak için
Eski uygulamalar için federasyon kullanıcılarının doğrudan ROPC kimlik doğrulamasını etkinleştirme
En iyi yöntem, uygulamaların Kullanıcı kimlik doğrulaması için Microsoft Entra kitaplıklarını ve etkileşimli oturum açmayı kullanmasıdır. Miras uygulamalar, Kaynak Sahibi Parola Kimlik Bilgileri (ROPC) yetkilerini kullanarak federasyonu anlamadan kimlik bilgilerini doğrudan Microsoft Entra ID'ye gönderebilir. HRD gerçekleştirmez veya uygun federasyon uç noktasıyla etkileşim kurmaz. Ana Alam Bulma ilkesini kullanarak belirli eski uygulamaların Microsoft Entra Kimliği ile doğrudan kimlik doğrulamasını etkinleştirebilirsiniz. Parola Karması Eşitleme etkinleştirildiğinde bu seçenek çalışır.
Önemli
Parola Karması Eşitleme etkinse ve uygulamanın, şirket içi IdP ilkeleri olmadan kimliğini doğrulamak kabul edilebilirse, yalnızca o zaman doğrudan kimlik doğrulamayı etkinleştirin. Ad Connect ile Parola Karması Eşitleme veya Dizin Eşitleme devre dışı bırakıldıysa, eski parola karmalarıyla doğrudan kimlik doğrulamasını önlemek için bu ilkeyi kaldırın.
HRD İlkesiNi Ayarla
Federasyonlu oturum açma otomatik hızlandırması veya doğrudan bulut tabanlı uygulamalar için bir uygulamada HRD politikası belirlemek üzere:
- BIR HRD ilkesi oluşturun.
- İlkeyi eklemek için hizmet sorumlusunu bulun.
- İlkeyi hizmet ilkesine ekleyin.
İlkeler, hizmet sorumlusuna eklendiğinde belirli bir uygulama için geçerlilik kazanır. Bir hizmet sorumlusunda aynı anda yalnızca bir HRD ilkesi etkin olabilir. HRD ilkesi oluşturmak ve yönetmek için Microsoft Graph PowerShell cmdlet'lerini kullanın.
Örnek HRD ilke tanımı:
{
"HomeRealmDiscoveryPolicy": {
"AccelerateToFederatedDomain": true,
"PreferredDomain": "federated.example.edu",
"AllowCloudPasswordValidation": false
}
}
- AccelerateToFederatedDomain: İsteğe bağlı. False ise, politika otomatik hızlandırmayı etkilemez. Doğruysa ve doğrulanmış bir federasyon etki alanı varsa, kullanıcılar federasyon IdP'sine yönlendirilir. Birden fazla domain varsa, PreferredDomainbelirtilmelidir.
- PreferredDomain: İsteğe bağlı. Hızlandırma için bir etki alanını gösterir. Yalnızca bir federasyon etki alanı varsa atla. Birden çok etki alanıyla atlanırsa, ilkenin hiçbir etkisi olmaz.
- AllowCloudPasswordValidation: İsteğe bağlı. Doğruysa, kullanıcı adı ve parola kimlik bilgileri kullanılarak federasyon kullanıcılarının doğrudan Microsoft Entra belirteç uç noktasında kimlik doğrulamasına izin verir, bu da Parola Karması Eşitlemesi gerektirir.
Kiracı düzeyinde ek HRD seçenekleri:
- AlternateIdLogin: İsteğe bağlı. Microsoft Entra oturum açma sayfasında UPN yerine e-postayla oturum açma için AlternateLoginID etkinleştirir. Kullanıcıların birleştirilmiş bir Kimlik Sağlayıcıya (IDP) otomatik olarak yönlendirilmemesine dayanır.
- DomainHintPolicy: etki alanı ipuçlarının federasyon etki alanlarına kullanıcıları otomatik olarak hızlandırmasını engelleyen isteğe bağlı karmaşık nesne. Alan ipuçları gönderen uygulamaların, bulut tarafından yönetilen kimlik bilgilerinin oturum açmalarını engellememesini sağlar.
HRD İlkelerinin Önceliği ve Değerlendirmesi
HRD ilkeleri kuruluşlara ve hizmet sorumlularına atanarak bir uygulamaya birden çok ilkenin uygulanmasına olanak tanıyabilir. Microsoft Entra Id, şu kuralları kullanarak önceliği belirler:
- Bir etki alanı ipucu varsa, kiracının İnsan Kaynakları Belirleme (HRD) politikası etki alanı ipuçlarının göz ardı edilip edilmemesi gerektiğini kontrol eder. İzin verildiğinde, etki alanı ipucu özelliği kullanılır.
- Bir ilke açıkça hizmet sorumlusuna atanırsa, uygulanır.
- Etki alanı ipucu belirtisi veya hizmet sorumlusu ilkesi yoksa, üst kuruluşa atanmış bir ilke uygulanır.
- Hiçbir etki alanı ipucu veya ilke atanmazsa, varsayılan HRD davranışı uygulanır.