Удовлетворение требований многофакторной аутентификации (MFA) Microsoft Entra ID с использованием MFA-токенов от федеративного поставщика удостоверений.

В этом документе приводятся утверждения, которые Microsoft Entra ID требует от федеративного поставщика удостоверений (IdP) для соблюдения заданных федеративных значений IdpMfaBehaviour: acceptIfMfaDoneByFederatedIdp и enforceMfaByFederatedIdp для языка разметки утверждений безопасности (SAML) и WS-Fed федерации.

Использование федеративного идентификационного провайдера WS-Fed или SAML 1.1

Если администратор при необходимости конфигурирует свой клиент Microsoft Entra ID для использования федеративного поставщика удостоверений с помощью федерации WS-Fed, Microsoft Entra перенаправляется к поставщику удостоверений для проверки подлинности и ожидает ответ в виде запроса ответа на маркер безопасности (RSTR), содержащего утверждение SAML 1.1. Если это настроено, Microsoft Entra признаёт MFA, выполненную удостоверяющим центром, если присутствует одно из следующих двух утверждений:

• http://schemas.microsoft.com/claims/multipleauthn
• http://schemas.microsoft.com/claims/wiaormultiauthn

Их можно включить в утверждение как часть элемента AuthenticationStatement. Например:

 <saml:AuthenticationStatement
    AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
    <saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>

Или они могут быть включены в утверждение как часть элементов AttributeStatement. Например:

<saml:AttributeStatement>
  <saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
       <saml:AttributeValue>...</saml:AttributeValue> 
      <saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
  </saml:Attribute>
</saml:AttributeStatement>

Использование политик условного доступа для частоты входа и управления сеансом с помощью WS-Fed или SAML 1.1.

Частота входа использует UserAuthenticationInstant (утверждение SAML http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant), который представляет собой AuthInstant аутентификации по первому фактору с использованием пароля для SAML1.1/WS-Fed.

Использование федеративной системы идентификации SAML 2.0

Если администратор опционально настраивает свой клиент Идентификатора Microsoft Entra для использования федеративного поставщика удостоверений с помощью SAMLP/SAML 2.0 федерации, Microsoft Entra перенаправит на поставщика удостоверений для аутентификации и ожидает ответа, содержащего утверждение SAML 2.0. Входящие утверждения MFA должны присутствовать в элементе AuthnContext в AuthnStatement.

<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
    <AuthnContext>
        <AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
    </AuthnContext>
</AuthnStatement>

Чтобы Microsoft Entra могла обработать входящие утверждения MFA, они должны присутствовать в элементе AuthnContext элемента AuthnStatement. Таким образом можно представить только один метод.

Использование политик условного доступа для частоты входа и управления сеансами с помощью SAML 2.0

Частота входа использует AuthInstant для выполнения аутентификации с помощью MFA или по первому фактору, предоставленной в AuthnStatement. Любые утверждения, указанные в разделе AttributeReference полезной нагрузки, игнорируются, включая http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant.

Связанное содержимое

federatedIdpMfaBehaviour