Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här dokumentet beskriver de intyg som Microsoft Entra ID kräver från en federerad identitetsleverantör (IdP) för att hedra de konfigurerade värdena för federeradeIdpMfaBehaviour, såsom acceptIfMfaDoneByFederatedIdp och enforceMfaByFederatedIdp, för Security Assertions Markup Language (SAML) och WS-Fed federation.
Tips
Att konfigurera Microsoft Entra-ID med en federerad IdP är valfritt. Microsoft Entra rekommenderar autentiseringsmetoder tillgängliga i Microsoft Entra-ID.
- Microsoft Entra-ID innehåller stöd för autentiseringsmetoder som tidigare endast är tillgängliga via en federerad IdP, till exempel certifikat/smartkort med Entra-certifikatbaserad autentisering
- Microsoft Entra-ID innehåller stöd för integrering av MFA-leverantörer från tredje part med externa autentiseringsmetoder
- Program som är integrerade med en federerad IdP kan integreras direkt med Microsoft Entra ID
Använda WS-Fed eller federerad IdP enligt SAML 1.1
När en administratör valfritt konfigurerar sin Microsoft Entra-ID-klientorganisation för att använda en federerad IdP med hjälp av WS-Fed federation omdirigerar Microsoft Entra till IdP för autentisering och förväntar sig ett svar i form av en Request Security Token Response (RSTR) som innehåller en försäkran i SAML 1.1-format. Om Microsoft Entra är konfigurerad för att göra så respekterar den MFA som görs av IdP:t om något av följande två anspråk finns:
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
De kan ingå i försäkran som en del av elementet AuthenticationStatement. Till exempel:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
Eller så kan de ingå i påståendet som en del av de AttributeStatement elementen. Till exempel:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
Använda inloggningsfrekvens och sessionskontroll med principer för villkorsstyrd åtkomst för WS-Fed eller SAML 1.1
Inloggningsfrekvens använder UserAuthenticationInstant (SAML-försäkran http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), vilket är AuthInstant för förstafaktorsautentisering med lösenord i SAML1.1/WS-Fed.
Att använda en federerad IdP med SAML 2.0
När en administratör valfritt konfigurerar sin Microsoft Entra ID-klientorganisation att använda en federerad IdP genom SAMLP/SAML 2.0 federation, kommer Microsoft Entra att omdirigera till IdP för autentisering och förväntar sig ett svar som innehåller ett SAML 2.0-intyg. De inkommande MFA-säkerhetsdeklarationer måste vara närvarande i elementet AuthnContext i AuthnStatement.
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
För att inkommande MFA-intyg ska kunna bearbetas av Microsoft Entra måste de finnas i AuthnContext-elementet i AuthnStatement. Endast en metod kan presenteras på det här sättet.
Använda inloggningsfrekvens och sessionskontroller för villkorsstyrda åtkomstpolicyer med SAML 2.0
inloggningsfrekvens använder AuthInstant av antingen MFA- eller First Factor-autentisering som angiven i AuthnStatement. Alla påståenden som delas i avsnittet AttributeReference i nyttolasten ignoreras, inklusive http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.