Metody ověřování v Microsoft Entra ID – tokeny OATH

  • Článek

Jednorázové jednorázové heslo OATH (TOTP) je otevřený standard, který určuje, jak se generují jednorázové kódy hesla (OTP). OATH TOTP lze implementovat pomocí softwaru nebo hardwaru k vygenerování kódů. Microsoft Entra ID nepodporuje OATH HOTP, jiný standard generování kódu.

Softwarové tokeny OATH

Softwarové tokeny OAUTH jsou obvykle aplikace, jako jsou aplikace Microsoft Authenticator a další ověřovací aplikace. Microsoft Entra ID vygeneruje tajný kód, neboli seed, který se vloží do aplikace a použije k vygenerování jednorázového hesla.

Aplikace Authenticator automaticky generuje kódy při nastavování nabízených oznámení, aby uživatel měl zálohu i v případě, že zařízení nemá připojení. K vygenerování kódů je možné použít také aplikace třetích stran, které k vygenerování kódů používají protokol OATH TOTP.

Některé hardwarové tokeny OATH TOTP jsou programovatelné, což znamená, že nepřicházejí s tajným klíčem nebo předprogramovanými počátečními klíči. Tyto programovatelné hardwarové tokeny je možné nastavit pomocí tajného klíče nebo počátečního klíče získaného z toku instalace softwarového tokenu. Zákazníci si můžou tyto tokeny koupit od dodavatele podle svého výběru a použít tajný klíč nebo počáteční kód v procesu nastavení dodavatele.

Hardwarové tokeny OATH (Preview)

Microsoft Entra ID podporuje použití tokenů SHA-1 OATH-TOTP, které aktualizují kódy každých 30 nebo 60 sekund. Zákazníci si můžou tyto tokeny koupit od dodavatele podle vlastního výběru. Hardwarové tokeny OATH jsou k dispozici pro uživatele s licencí Microsoft Entra ID P1 nebo P2.

Důležité

Verze Preview se podporuje jenom v cloudech Azure Global a Azure Government.

Hardwarové tokeny OATH TOTP obvykle obsahují tajný klíč nebo počáteční kód předem naprogramovaný v tokenu. Tyto klíče musí být vstupní do MICROSOFT Entra ID, jak je popsáno v následujících krocích. Tajné klíče jsou omezené na 128 znaků, což není kompatibilní s některými tokeny. Tajný klíč může obsahovat pouze znaky a-z nebo A-Z a číslice 2-7 a musí být kódovány v base32.

Hardwarové tokeny OATH TOTP, které je možné převést, je možné nastavit také pomocí Microsoft Entra ID v toku nastavení softwarového tokenu.

Hardwarové tokeny OATH jsou podporovány jako součást verze Public Preview. Další informace o verzích Preview najdete v dodatečných podmínkách použití systémů Microsoft Azure Preview.

Screenshot of OATH token management.

Po získání tokenů je nutné je nahrát ve formátu souboru hodnot oddělených čárkami (CSV). Soubor by měl obsahovat hlavní název uživatele (UPN), sériové číslo, tajný klíč, časový interval, výrobce a model, jak je znázorněno v následujícím příkladu:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Poznámka:

Ujistěte se, že do souboru CSV zahrnete řádek záhlaví.

Jakmile je soubor CSV správně naformátovaný, globální Správa istrator se pak může přihlásit do Centra pro správu Microsoft Entra, přejít na >tokeny OATH s vícefaktorovým ověřováním>a nahrát výsledný soubor CSV.

V závislosti na velikosti souboru CSV může zpracování trvat několik minut. Pokud chcete aktuální stav získat, vyberte tlačítko Aktualizovat. Pokud v souboru dojde k nějakým chybám, můžete si stáhnout soubor CSV se seznamem chyb, které můžete vyřešit. Názvy polí ve staženého souboru CSV se liší od nahrané verze.

Jakmile se vyřeší všechny chyby, správce pak může aktivovat každý klíč výběrem možnosti Aktivovat token a zadáním jednorázového hesla zobrazeného v tokenu. Každých 5 minut můžete aktivovat maximálně 200 tokenů OATH.

Uživatelé můžou mít kombinaci až pěti hardwarových tokenů OATH nebo ověřovacích aplikací, jako je aplikace Microsoft Authenticator, nakonfigurovaných pro použití kdykoli. Hardwarové tokeny OATH nelze přiřadit uživatelům typu host v tenantovi prostředků.

Důležité

Nezapomeňte každému tokenu přiřadit pouze jednomu uživateli. V budoucnu se podpora přiřazení jednoho tokenu více uživatelům zastaví, aby se zabránilo bezpečnostnímu riziku.

Řešení potíží se selháním při zpracování nahrávání

Někdy může dojít ke konfliktům nebo problémům se zpracováním nahrávání souboru CSV. Pokud dojde ke konfliktu nebo problému, zobrazí se oznámení podobné následujícímu:

Screenshot of upload error example.

Chcete-li zjistit chybovou zprávu, nezapomeňte a vyberte Zobrazit podrobnosti. Otevře se okno Stav tokenu hardwaru a zobrazí se souhrn stavu nahrání. Ukazuje, že došlo k selhání nebo několika selháním, jako v následujícím příkladu:

Screenshot of hardware token status example.

Chcete-li zjistit příčinu uvedené chyby, nezapomeňte zaškrtnout políčko vedle stavu, který chcete zobrazit, který aktivuje možnost Stáhnout . Tím se stáhne soubor CSV, který obsahuje identifikovanou chybu.

Screenshot of download status example.

Stažený soubor má název Failures_filename.csv kde název souboru je název nahraného souboru. Uloží se do výchozího adresáře pro stahování prohlížeče.

Tento příklad ukazuje chybu identifikovanou jako uživatel, který aktuálně v adresáři tenanta neexistuje:

Screenshot of error reason example.

Jakmile uvedené chyby vyřešíte, nahrajte sdílený svazek clusteru znovu, dokud se úspěšně nezvlyší. Informace o stavu každého pokusu zůstanou po dobu 30 dnů. Sdílený svazek clusteru můžete ručně odebrat kliknutím na zaškrtávací políčko vedle stavu a výběrem možnosti Odstranit stav , pokud je to potřeba.

Určení typu registrace tokenu OATH

Uživatelé můžou spravovat a přidávat registrace tokenů OATH prostřednictvím přístupu k mysecurityinfo nebo výběrem bezpečnostních údajů z mého účtu. Konkrétní ikony se používají k rozlišení, jestli je registrace tokenu OATH hardwarová nebo softwarová.

Typ registrace tokenu Icon
Softwarový token OATH Software OATH token
Hardwarový token OATH Hardware OATH token

Další kroky

Přečtěte si další informace o konfiguraci metod ověřování pomocí rozhraní Microsoft Graph REST API. Seznamte se s zprostředkovateli klíčů zabezpečení FIDO2, kteří jsou kompatibilní s ověřováním bez hesla.