你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Active Directory 身份验证是什么?

标识平台的主要功能之一就是在用户登录到设备、应用程序或服务时,对凭据进行验证或身份验证 。 在 Azure Active Directory (Azure AD) 中,身份验证不仅仅涉及对用户名和密码的验证。 Azure AD 身份验证包括以下组件,用于提高安全性并降低对技术人员帮助的需求:

  • 自助式密码重置
  • Azure AD 多重身份验证
  • 用于将密码更改写回到本地环境的混合集成
  • 用于对本地环境强制实施密码保护策略的混合集成
  • 无密码身份验证

请观看我们的短视频,详细了解这些身份验证组件。

改善最终用户体验

Azure AD 有助于保护用户的身份并简化其登录体验。 自助式密码重置等功能允许用户从任何设备使用 Web 浏览器更新或更改密码。 如果用户忘记了密码或帐户被锁定,此功能尤其有用。 在不等待支持人员或管理员提供支持的情况下,用户可以取消对自己的阻止,继续工作。

Azure AD 多重身份验证使用户能够在登录期间选择其他形式的身份验证,例如电话呼叫或移动应用通知。 此功能减少了单一、固定形式的辅助身份验证(如硬件令牌)的要求。 如果用户当前没有一种形式的附加身份验证,则可选择其他方法,继续工作。

登录屏幕上使用的身份验证方法

无密码身份验证根本不需要用户创建并记住安全密码。 Windows Hello 企业版或 FIDO2 安全密钥等功能让用户无需密码即可登录到设备或应用程序。 此功能可以降低跨不同环境管理密码的复杂性。

自助式密码重置

自助式密码重置使用户能够更改或重置其密码,而不需要管理员或支持人员。 如果用户的帐户被锁定或用户忘记了自己的密码,他们可以按照提示取消对自己的阻止,回到工作状态。 当用户无法登录到其设备或应用程序时,此功能可减少呼叫支持人员的次数,降低生产力损失。

自助式密码重置适用于以下情况:

  • 密码更改 - 用户知道自己的密码,但想要将其更改为新的。
  • 密码重置 - 用户无法登录(例如,忘记了密码),但想要重置其密码。
  • 帐户解锁 - 用户因其帐户被锁定而无法登录,但想要解锁其帐户。

当用户使用自助式密码重置更新或重置其密码时,也可将该密码写回到本地 Active Directory 环境。 密码写回可确保用户能够立即在本地设备和应用程序中使用更新的凭据。

Azure AD 多重身份验证

多重身份验证是一种过程。在该过程中,系统会在用户登录时提示其输入其他形式的标识,例如在其手机上输入代码或提供指纹扫描。

如果只使用密码对用户进行身份验证,则会留下不安全的矢量,容易受到攻击。 如果密码弱或者已在其他位置公开,那么如何确定是该用户在使用用户名和密码登录,还是攻击者在登录? 需要另一种形式的身份验证时,会提高安全性,因为攻击者并不容易获取或复制进行多重身份验证所需的额外内容。

不同形式的多重身份验证的概念图

至少需要采用下列身份验证方法中的两种,才能使 Azure AD 多重身份验证发挥作用:

  • 你知道的某样东西,通常为密码。
  • 你有的某样东西,例如无法轻易复制的可信设备,如电话或硬件密钥。
  • 自身的特征 - 生物识别,如指纹或面部扫描。

用户只需执行一个步骤即可自行注册自助式密码重置和 Azure AD 多重身份验证,这样可以简化加入体验。 管理员可以定义能够使用的辅助身份验证形式。 当用户执行自助式密码重置以进一步保护该过程时,也可能需要 Azure AD 多重身份验证。

密码保护

默认情况下,Azure AD 会阻止弱密码,如 Password1。 全局禁止的密码列表会自动更新并强制实施,其中包含已知弱密码。 如果 Azure AD 用户尝试将其密码设置为这些弱密码之一,则会收到要求他们选择更安全密码的通知。

若要提高安全性,可以定义自定义密码保护策略。 这些策略可以使用筛选器来阻止包含名称(例如 Contoso)或位置(例如伦敦)的密码的任何变体。

为确保混合安全性,可以将 Azure AD 密码保护与本地 Active Directory 环境集成。 在本地环境中安装的组件会接收 Azure AD 的全局禁止密码列表和自定义密码保护策略,而域控制器则会使用它们来处理密码更改事件。 这种混合方法可确保无论用户如何更改其凭据或在什么位置更改其凭据,都可以强制使用强密码。

无密码身份验证

许多环境的最终目标是在登录事件中杜绝密码的使用。 Azure 密码保护或 Azure AD 多重身份验证之类的功能有助于提高安全性,但用户名和密码仍然是一种弱的身份验证形式,可能会泄露或受到强力攻击。

导致无密码的身份验证过程的安全性和便利性

通过无密码方法登录时,使用 Windows Hello 企业版的生物识别或 FIDO2 安全密钥等方法来提供凭据。 攻击者无法轻松地复制这些身份验证方法。

可以通过 Azure AD 使用无密码方法进行本机身份验证,简化用户的登录体验并降低受到攻击的风险。

Web 浏览器 Cookie

通过 Web 浏览器对 Azure Active Directory 进行身份验证时,该过程涉及多个 Cookie。 某些 Cookie 在所有请求上是通用的,其他 Cookie 则特定于某些特定方案,即特定的身份验证流和/或特定的客户端条件。

持久性会话令牌作为持久性 Cookie 存储在 Web 浏览器的 Cookie jar 上,而非持久性会话令牌作为会话 Cookie 存储在 Web 浏览器上,并在浏览器会话关闭时被销毁。

Cookie 名称 类型 注释
ESTSAUTH 通用 包含用于辅助 SSO 的用户会话信息。 暂时。
ESTSAUTHPERSISTENT 通用 包含用于辅助 SSO 的用户会话信息。 永久性的。
ESTSAUTHLIGHT 通用 包含会话 GUID 信息。 专门由客户端 JavaScript 使用的精简会话状态 Cookie,用于辅助 OIDC 注销。安全功能。
SignInStateCookie 通用 包含为方便注销而访问的服务列表。无用户信息。 安全功能。
CCState 通用 包含要在 Azure AD 与 Azure AD 备份身份验证服务之间使用的会话信息状态。
buid 通用 跟踪浏览器相关信息。 用于服务遥测和保护机制。
fpc 通用 跟踪浏览器相关信息。 用于跟踪请求和限制。
esctx 通用 会话上下文 Cookie 信息。 用于 CSRF 保护。 将请求绑定到特定的浏览器实例,使得无法在浏览器外部重播请求。 无用户信息。
ch 通用 ProofOfPossessionCookie。 将所有权证明 Cookie 哈希存储到用户代理。
ESTSSC 通用 不再使用包含会话计数信息的旧 Cookie。
ESTSSSOTILES 通用 跟踪会话注销。当存在且未过期,且值为“ESTSSSOTILES=1”时,它将针对特定 SSO 身份验证模型中断 SSO,并将显示用于用户帐户选择的磁贴。
AADSSOTILES 通用 跟踪会话注销。类似于 ESTSSSOTILES,但针对其他特定的 SSO 身份验证模型。
ESTSUSERLIST 通用 跟踪浏览器 SSO 用户的列表。
SSOCOOKIEPULLED 通用 防止在特定方案中循环。 无用户信息。
cltm 通用 用于遥测目的。 跟踪 AppVersion、ClientFlight 和网络类型。
brcap 通用 客户端 Cookie(由 JavaScript 设置),用于验证客户端/Web 浏览器的触控功能。
clrc 通用 客户端 Cookie(由 JavaScript 设置),用于控制客户端上的本地缓存会话。
CkTst 通用 客户端 Cookie(由 JavaScript 设置)。 不再处于活动使用状态。
wlidperf 通用 客户端 Cookie(由 JavaScript 设置),出于性能目的跟踪本地时间。
x-ms-gateway-slice 通用 用于跟踪和负载均衡的 Azure AD 网关 Cookie。
stsservicecookie 通用 同样用于跟踪目的的 Azure AD 网关 Cookie。
x-ms-refreshtokencredential 特定 在使用 主刷新令牌 (PRT) 时可用。
estsStateTransient 特定 仅适用于新的会话信息模型。 暂时。
estsStatePersistent 特定 与 estsStateTransient 相同,但具有持久性。
ESTSNCLOGIN 特定 与国家云登录相关的 Cookie。
UsGovTraffic 特定 US Gov 云流量 Cookie。
ESTSWCTXFLOWTOKEN 特定 在重定向到 ADFS 时保存 flowToken 信息。
CcsNtv 特定 当 Azure AD 网关将请求发送到 Azure AD 备份身份验证服务时进行控制。 本机流。
CcsWeb 特定 当 Azure AD 网关将请求发送到 Azure AD 备份身份验证服务时进行控制。 Web 流。
Ccs* 特定 带有前缀 Ccs* 的 Cookie 与没有前缀的 Cookie 具有相同的用途,但仅在使用 Azure AD 备份身份验证服务时适用。
threxp 特定 用于限制控制。
rrc 特定 用于识别最近的 B2B 邀请兑换的 Cookie。
debug 特定 用于跟踪是否为 DebugMode 启用了用户的浏览器会话的 Cookie。
MSFPC 特定 此 Cookie 并非特定于任何 ESTS 流,但有时存在。 它适用于所有 Microsoft 站点(当用户接受时)。 识别访问 Microsoft 站点的唯一 Web 浏览器。 它用于广告、站点分析和其他运营目的。

注意

识别为客户端 Cookie 的 Cookie 由 JavaScript 在客户端设备上本地设置,因此将使用 HttpOnly=false 进行标记。

根据 Azure AD 服务要求,Cookie 定义和相应名称随时可能更改。

后续步骤

若要开始,请参阅自助式密码重置 (SSPR) 的教程Azure AD 多重身份验证

若要详细了解自助式密码重置概念,请参阅 Azure AD 自助式密码重置的工作原理

若要详细了解多重身份验证概念,请参阅 Azure AD 多重身份验证的工作原理