Настройка альтернативного идентификатора входа

Что такое альтернативный идентификатор входа?

В большинстве случаев пользователи используют свои унифицированные имена пользователей (UPN) для входа в свои учетные записи. Однако в некоторых средах из-за корпоративных политик или зависимостей локальных бизнес-приложений пользователи могут использовать другую форму входа.

Например, они могут использовать свой идентификатор электронной почты для входа, и он может отличаться от имени пользователя. Это особенно распространено в сценариях, когда их UPN (имя пользователя) не является маршрутизируемым. Представим пользователя Джейн Доу с УПН jdoe@contoso.local и адресом электронной почты jdoe@contoso.com. Джейн может даже не знать об уникальном имени пользователя, так как она всегда использовала свой адрес электронной почты для входа. Использование любого другого метода входа вместо имени пользователя (UPN) считается альтернативным идентификатором. Дополнительную информацию о создании UserPrincipalName см. в разделе Microsoft Entra заполнение UserPrincipalName.

Службы федерации Active Directory (AD FS) позволяют федеративным приложениям использовать AD FS для входа с помощью альтернативного идентификатора. Это позволяет администраторам указать альтернативное значение UPN для использования при входе в систему. AD FS уже поддерживает использование любой формы идентификатора пользователя, принятого доменными службами Active Directory (AD DS). При настройке альтернативного идентификатора AD FS пользователи могут войти с помощью настроенного альтернативного значения идентификатора, например идентификатора электронной почты. Использование альтернативного идентификатора позволяет внедрять поставщика SaaS, такого как Office 365, без изменения имен UPN в локальной инфраструктуре. Он также позволяет поддерживать приложения для бизнес-сервисов с идентификацией, предоставленной потребителем.

Альтернативный идентификатор в Microsoft Entra ID

Организации может потребоваться использовать альтернативный идентификатор в следующих сценариях:

1. Локальное доменное имя не является маршрутизируемым, например contoso.local, и в результате имя участника-пользователя по умолчанию не является маршрутизируемым (jdoe@contoso.local). Существующее уникальное имя пользователя невозможно изменить в связи с зависимостями локальных приложений или политикой компании. Идентификатор Microsoft Entra и Office 365 требуют, чтобы все суффиксы домена, связанные с каталогом Microsoft Entra, были полностью маршрутизируемыми в Интернете.
2. Локальный UPN не совпадает с адресом электронной почты пользователя и для входа в Office 365 пользователи используют адрес электронной почты, поскольку использование UPN невозможно из-за ограничений организации. В описанных выше сценариях альтернативный идентификатор с AD FS позволяет пользователям входить в Microsoft Entra ID без изменения локальных UPN.

Настройка альтернативного идентификатора входа

Использование Microsoft Entra Connect Мы рекомендуем использовать Microsoft Entra Connect для настройки альтернативного идентификатора входа в среду.

• Сведения о новой конфигурации Microsoft Entra Connect см. в разделе "Подключение к идентификатору Microsoft Entra ID" для получения подробных инструкций по настройке альтернативного идентификатора и фермы AD FS.
• Сведения о существующих установках Microsoft Entra Connect см. в разделе "Изменение метода входа пользователя" для инструкций по изменению метода входа в AD FS

Когда Microsoft Entra Connect получает сведения о среде AD FS, он автоматически проверяет наличие соответствующего пакета обновления (KB) на вашем AD FS и настраивает AD FS для альтернативного идентификатора, включая все необходимые правила утверждений для доверия в федерации Microsoft Entra. Для настройки альтернативного идентификатора не требуется дополнительных шагов.

Настройка альтернативного идентификатора вручную

Чтобы настроить альтернативный идентификатор входа, необходимо выполнить следующие задачи:

Настройка доверия поставщика утверждений AD FS для включения альтернативного идентификатора входа

1. Если у вас есть Windows Server 2012 R2, убедитесь, что на всех серверах AD FS установлен KB2919355. Вы можете получить его с помощью служб Центра обновления Windows или скачать его напрямую.

2. Обновите конфигурацию AD FS, выполнив следующий командлет PowerShell на любом из серверов федерации в ферме (если у вас есть ферма WID, необходимо выполнить эту команду на основном сервере AD FS в ферме):

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID <attribute> -LookupForests <forest domain>

AlternateLoginID — это имя LDAP атрибута, который вы хотите использовать для входа.

LookupForests — это список DNS леса, к которому принадлежат ваши пользователи.

Чтобы включить функцию альтернативного идентификатора входа, необходимо настроить параметры как -AlternateLoginID, так и -LookupForests с допустимым значением, не равным NULL.

В следующем примере вы активируете альтернативную функцию идентификатора входа, чтобы пользователи с учетными записями в доменах contoso.com и fabrikam.com могли входить в приложения, поддерживающие AD FS, с помощью атрибута mail.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID mail -LookupForests contoso.com,fabrikam.com

3. Чтобы отключить эту функцию, задайте для обоих параметров значение NULL.

Set-AdfsClaimsProviderTrust -TargetIdentifier "AD AUTHORITY" -AlternateLoginID $NULL -LookupForests $NULL

Гибридная современная проверка подлинности с альтернативным идентификатором

Exchange и Skype для бизнеса

Если вы используете альтернативный идентификатор входа в Exchange и Skype для бизнеса, взаимодействие с пользователем зависит от того, используете ли вы HMA.

для получения дополнительной информации см. Обзор гибридной современной аутентификации

Предварительные требования для Exchange и Skype для бизнеса

Ниже приведены предварительные требования для достижения единого входа, используя альтернативный идентификатор.

• Exchange Online должен включать современную проверку подлинности.
• Skype для бизнеса (SFB) Online должен включать современную проверку подлинности.
• В локальной среде Exchange должна быть включена современная проверка подлинности. Exchange 2013 CU19 или Exchange 2016 CU18 и более поздней версии требуется на всех серверах Exchange. В среде нет Exchange 2010.
• В локальной среде Skype для бизнеса должна быть включена современная проверка подлинности.
• Необходимо использовать клиенты Exchange и Skype с поддержкой современной проверки подлинности. Все серверы должны работать под управлением SFB Server 2015 CU5.
• Клиенты Skype для бизнеса с поддержкой современной проверки подлинности
  • iOS, Android, Windows Phone
  • SFB 2016 (MA имеет значение ON по умолчанию, но убедитесь, что он не отключен.)
  • SFB 2013 (MA — OFF по умолчанию, поэтому убедитесь, что MA включен.)
  • Рабочий стол SFB на Mac
• Клиенты Exchange, которые поддерживают современную проверку подлинности и регистрационные ключи AltID
  • Только Office Pro Plus 2016

Поддерживаемая версия Office

Настройка каталога для SSO с альтернативным идентификатором

Использование альтернативного идентификатора может вызвать дополнительные запросы на проверку подлинности, если эти дополнительные конфигурации не завершены. См. статью о возможном влиянии на взаимодействие с пользователем с альтернативным идентификатором.

Благодаря следующей дополнительной конфигурации взаимодействие с пользователем значительно улучшается, и вы можете достичь практически отсутствующих запросов на проверку подлинности для пользователей с альтернативными идентификаторами в вашей организации.

Шаг 1. Обновление до требуемой версии Office

Office версии 1712 (сборка no 8827.2148) и выше обновила логику проверки подлинности для обработки сценария альтернативного идентификатора. Чтобы использовать новую логику, клиентские компьютеры должны быть обновлены до Office версии 1712 (сборка no 8827.2148) и выше.

Шаг 2. Обновление до требуемой версии Windows

Windows версии 1709 и выше обновили логику проверки подлинности для обработки сценария альтернативного идентификатора. Чтобы использовать новую логику, клиентские компьютеры должны быть обновлены до Windows версии 1709 и выше.

Шаг 3. Настройка реестра для затронутых пользователей с помощью групповой политики

Приложения Office полагаются на информацию, отправленную администратором каталога, чтобы определить среду Alternate ID. Следующие ключи в реестре должны быть настроены, чтобы помочь приложениям Office аутентифицировать пользователя с альтернативным идентификатором без отображения дополнительных запросов.

Новый поток проверки подлинности после дополнительной настройки

1. a. Пользователь создан в Microsoft Entra ID с использованием альтернативного идентификатора
   b. Администратор каталога отправляет необходимые параметры ключа реестра на затронутые клиентские компьютеры.
2. Пользователь проходит проверку подлинности на локальном компьютере и открывает приложение office
3. Приложение Office принимает учетные данные локального сеанса
4. Приложение Office проходит аутентификацию в Microsoft Entra ID с использованием подсказки домена, отправленной администратором, и локальных учетных данных.
5. Microsoft Entra ID успешно аутентифицирует пользователя, направляя в правильное федеративное пространство и выдаёт токен.

Приложения и взаимодействие с пользователем после дополнительной настройки

Клиенты, отличные от Exchange и Skype для бизнеса

Клиенты Exchange и Skype для бизнеса

Дополнительные сведения и рекомендации

• Идентификатор Microsoft Entra предлагает различные функции, связанные с альтернативным идентификатором входа.

  • Функция настройки альтернативного идентификатора входа AD FS для сред инфраструктуры инфраструктуры федеративных¹ удостоверений, описанных в этой статье.
  • Конфигурация синхронизации Microsoft Entra Connect, которая определяет, какой локальный атрибут используется в качестве имени пользователя Microsoft Entra (userPrincipalName) для сред инфраструктуры инфраструктуры удостоверений Федеративных¹ ИЛИ Управляемых² удостоверений, которая частично рассматривается в этой статье.
  • Вход в Microsoft Entra ID с использованием электронной почты в качестве альтернативного логина для управляемой инфраструктуры удостоверений².

• Функция альтернативного идентификатора входа, описанная в этой статье, доступна для сред инфраструктуры инфраструктуры федеративных¹ удостоверений. Он не поддерживается в следующих сценариях:

  • Атрибут AlternateLoginID с не маршрутизируемыми доменами (например, Contoso.local), который не может быть проверен Microsoft Entra ID.
  • Управляемые среды, в которых не развернута служба AD FS. Обратитесь к документации по синхронизации Microsoft Entra Connect или к идентификатору входа в Microsoft Entra ID с электронной почтой в качестве альтернативного идентификатора для входа . Если вы решите настроить конфигурацию синхронизации Microsoft Entra Connect в среде инфраструктуры управляемых² удостоверений, приложения и пользователи после дополнительного раздела конфигурации этой статьи могут по-прежнему применяться, хотя конкретная конфигурация AD FS больше не применяется, так как ad FS не развертывается в среде инфраструктуры управляемых² удостоверений.

• При включении функция альтернативного идентификатора входа доступна только для проверки подлинности имени пользователя и пароля во всех протоколах проверки подлинности имени пользователя и пароля, поддерживаемых AD FS (SAML-P, WS-Fed, WS-Trust и OAuth).

• При выполнении интегрированной аутентификации Windows (WIA) (например, когда пользователи пытаются получить доступ к корпоративному приложению на компьютере, подключенном к домену, из интрасети, и администратор AD FS настроил политику аутентификации для использования WIA в интрасети), для аутентификации используется UPN. Если вы настроили какие-либо правила утверждений для проверяющих сторон для функции альтернативного идентификатора входа, убедитесь, что эти правила по-прежнему действительны в случае WIA.

• Если этот параметр включен, требуется, чтобы по крайней мере один глобальный сервер каталога был доступен с сервера AD FS для каждого леса учетных записей пользователей, поддерживаемых AD FS. Сбой доступа к серверу глобального каталога в лесу учетной записи пользователя приводит к тому, что AD FS переходит к использованию UPN. По умолчанию все контроллеры домена являются глобальными серверами каталога.

• Когда эта функция включена, если сервер AD FS находит несколько объектов пользователя с одним и тем же альтернативным значением идентификатора входа, указанным во всех настроенных лесах учетных записей пользователей, вход не выполняется.

• Если включена функция альтернативного идентификатора входа, AD FS сначала пытается выполнить проверку подлинности конечного пользователя с помощью альтернативного идентификатора входа, а затем, если не удается найти учетную запись, которая может быть определена по альтернативному идентификатору, возвращается к использованию UPN. Убедитесь, что между альтернативным идентификатором входа и UPN нет конфликтов, если вы хотите по-прежнему поддерживать вход с использованием UPN. Например, если установить атрибут почты одного пользователя с использованием UPN другого, то это блокирует ему вход с его UPN.

• Если один из лесов, настроенных администратором, не работает, AD FS продолжает искать учетную запись пользователя с альтернативным идентификатором входа в других лесах, которые также настроены. Если сервер AD FS находит объекты уникальных пользователей в лесах, в которых он осуществил поиск, пользователь успешно входит в систему.

• Кроме того, вы можете настроить страницу входа AD FS, чтобы предоставить конечным пользователям некоторое указание о альтернативном идентификаторе входа. Это можно сделать, добавив описание настраиваемой страницы входа (дополнительные сведения см. в разделе Настройка страниц входа AD FS или настройка строки "Вход с учетной записью организации" над полем имени пользователя (дополнительные сведения см. в разделе Расширенная настройка страниц входа AD FS.

• Новый тип утверждения, содержащий альтернативное значение идентификатора входа, — http:schemas.microsoft.com/ws/2013/11/alternateloginid

¹ Среда инфраструктуры федеративных удостоверений представляет среду с поставщиком удостоверений, например AD FS или другим сторонним поставщиком удостоверений.

² Среда инфраструктуры управляемых удостоверений представляет среду с идентификатором Microsoft Entra в качестве поставщика удостоверений, развернутого с помощью синхронизации хэша паролей (PHS) или сквозной проверки подлинности (PTA).

Счетчики событий и производительности

Добавлены следующие счетчики производительности для измерения производительности серверов AD FS при включении альтернативного идентификатора входа:

• Альтернативные проверки подлинности идентификатора входа: количество аутентификаций, выполняемых с помощью альтернативного идентификатора входа

• Альтернативный идентификатор входа в секунду: количество аутентификаций, выполняемых с помощью альтернативного идентификатора входа в секунду

• Средняя задержка поиска для альтернативного идентификатора входа: средняя задержка поиска в лесах, настроенная администратором для альтернативного идентификатора входа

Ниже представлены различные случаи ошибок и их соответствующее влияние на опыт входа пользователя с событиями, зарегистрированными AD FS.

См. также

операции AD FS