Home Realm Discovery egy alkalmazáshoz

A Home Realm Discovery (HRD) az a folyamat, amely lehetővé teszi a Microsoft Entra ID-nek, hogy meghatározza, melyik identitásszolgáltatóval (IDP-vel) kell hitelesítenie a felhasználót a bejelentkezéskor. Amikor egy felhasználó bejelentkezik egy Microsoft Entra-bérlőbe egy erőforrás eléréséhez, vagy a Microsoft Entra gyakori bejelentkezési oldalára, beír egy felhasználónevet (UPN). A Microsoft Entra ID ezzel deríti fel, hogy a felhasználónak hol kell bejelentkeznie.

A felhasználó a következő identitásszolgáltatók egyikére kerül hitelesítésre:

• A felhasználó otthoni bérlője (lehet, hogy ugyanaz a bérlő, mint a felhasználó által elérni kívánt erőforrás).

• Microsoft-fiók. A felhasználó egy vendég az erőforrás-bérlőben, amely egy fogyasztói fiókot használ a hitelesítéshez.

• Helyszíni identitásszolgáltató, például Active Directory összevonási szolgáltatások (AD FS) (ADFS).

• Egy másik identitásszolgáltató, amely a Microsoft Entra-bérlővel összevont.

Automatikus gyorsítás

Egyes szervezetek úgy konfigurálják a Microsoft Entra-bérlő tartományait, hogy egy másik identitásszolgáltatóval, például az ADFS-sel egyesítsék a felhasználói hitelesítést.

Amikor egy felhasználó bejelentkezik egy alkalmazásba, először megjelenik egy Microsoft Entra bejelentkezési oldal. Miután beírták az UPN-et, ha összevont tartományban vannak, akkor a program az adott tartományt kiszolgáló identitásszolgáltató bejelentkezési oldalára irányítja őket. Bizonyos körülmények között előfordulhat, hogy a rendszergazdák a bejelentkezési oldalra szeretnék irányítani a felhasználókat, amikor bizonyos alkalmazásokba jelentkeznek be.

Ennek eredményeképpen a felhasználók kihagyhatják a Microsoft Entra-azonosító kezdeti oldalát. Ezt a folyamatot nevezik "bejelentkezési automatikus gyorsításnak". A Microsoft nem javasolja tovább az automatikus gyorsítás konfigurálását, mivel megakadályozhatja az olyan erősebb hitelesítési módszerek használatát, mint a FIDO, és akadályozza az együttműködést. Az automatikus gyorsítás nem konfigurálásának előnyeiről további információt a jelszó nélküli biztonsági kulcsok bejelentkezésének engedélyezése című témakörben talál. A bejelentkezés automatikus gyorsításának megelőzéséről további információt az automatikus gyorsítási bejelentkezés letiltása című témakörben talál.

Azokban az esetekben, amikor a bérlő egy másik idP-hez van összevonva a bejelentkezéshez, az automatikus gyorsítás egyszerűbbé teszi a felhasználói bejelentkezést. Az automatikus gyorsítást egyéni alkalmazásokhoz is konfigurálhatja. Az automatikus gyorsítás konfigurálásával megtudhatja, hogyan kényszerítheti az automatikus gyorsítást a HRD használatával.

Feljegyzés

Ha automatikus gyorsításra konfigurál egy alkalmazást, a felhasználók nem használhatnak felügyelt hitelesítő adatokat (például FIDO), és a vendégfelhasználók nem tudnak bejelentkezni. Ha közvetlenül egy összevont identitásszolgáltatóhoz viszi a felhasználót hitelesítés céljából, nincs mód arra, hogy visszatérjen a Microsoft Entra bejelentkezési oldalára. A vendégfelhasználók, akiknek esetleg más bérlőkhöz vagy külső identitásszolgáltatóhoz, például Microsoft-fiókhoz kell irányítaniuk, nem tudnak bejelentkezni az alkalmazásba, mert kihagyják a HRD-lépést.

Az összevont identitásszolgáltatóra történő automatikus gyorsítás háromféleképpen szabályozható:

• Használjon egy tartományra vonatkozó tippet egy alkalmazás hitelesítési kérelmeihez.
• Konfiguráljon egy HRD-szabályzatot az automatikus gyorsítás kényszerítéséhez.
• Konfiguráljon egy HRD-szabályzatot, hogy figyelmen kívül hagyja az adott alkalmazásokból vagy bizonyos tartományokból származó tartománymutatókat .

Tartomány-megerősítési párbeszédpanel

2023 áprilisától az automatikus gyorsítást vagy intelligens hivatkozásokat használó szervezetek új képernyőt láthatnak a bejelentkezési felhasználói felületen. Ez a tartománymegerősítő párbeszédpanel a Microsoft általános biztonsági megerősítése iránti elkötelezettségének része, és megköveteli, hogy a felhasználó erősítse meg annak a bérlőnek a tartományát, ahová bejelentkezik. Ha megjelenik a Tartománymegerősítő párbeszédpanel, és nem ismeri fel a listában szereplő bérlői tartományt, szakítsa meg a hitelesítési folyamatot, és forduljon a rendszergazdához (ha van ilyen). Íme egy példa a tartomány-megerősítési párbeszédpanel megjelenésére:

A párbeszédpanel kelly@contoso.comtetején található azonosító a bejelentkezéshez használt azonosítót jelöli. A párbeszédpanel fejlécében és alfejlécében szereplő bérlői tartomány a fiók otthoni bérlőjének tartományát jeleníti meg.

Bár a Tartománymegerősítő párbeszédpanelnek nem kell megjelennie az automatikus gyorsítás vagy az intelligens hivatkozások minden példánya esetében, a Tartománymegerősítő párbeszédpanel automatikus gyorsítást jelent, és az intelligens hivatkozások nem haladhatnak zökkenőmentesen, ha megjelennek. Ha a szervezet a böngészőszabályzatok vagy egyéb okból törli a cookie-kat, előfordulhat, hogy gyakrabban tapasztalja a tartomány-megerősítési párbeszédpanelt. Végül, mivel a Microsoft Entra ID kezeli az automatikus gyorsítási bejelentkezési folyamatot a végpontok között, a Tartománymegerősítő párbeszédpanel bevezetése nem eredményezhet alkalmazástöréseket.

Emellett letilthatja a tartománymegerősítő párbeszédpanelt egy bérlői korlátozások v2 (TRv2 ) szabályzat konfigurálásával. A TRv2-házirendek ugyanazt a biztonsági állapotot érik el, mint a Tartománymegerősítő párbeszédpanel, így amikor egy TRv2-házirend fejléce szerepel a kérelemben, a rendszer letiltja a tartománymegerősítő párbeszédpanelt.

Tartományi tippek

A tartománymutatók olyan irányelvek, amelyek egy alkalmazás hitelesítési kérésében szerepelnek. Segítségével felgyorsíthatja a felhasználót az összevont identitásszolgáltató bejelentkezési oldalára. A több-bérlős alkalmazások arra is használhatják őket, hogy felgyorsítsák a felhasználót közvetlenül a microsoft entra bejelentkezési oldalára a bérlőjük számára.

A "largeapp.com" alkalmazás például lehetővé teheti ügyfelei számára, hogy egy egyéni URL-címen (contoso.largeapp.com) férhessenek hozzá az alkalmazáshoz. Az alkalmazás egy tartományra vonatkozó tippet is tartalmazhat, amely contoso.com a hitelesítési kérelemben.

A tartománymutató szintaxisa a használt protokolltól függően változik, és az alkalmazás a következő módokon van konfigurálva:

• WS-Összevonást használó alkalmazások esetén: whr lekérdezési sztring paraméter. Például whr=contoso.com.

• A Security Assertion Markup Language (SAML)-t használó alkalmazások esetében: Egy SAML-hitelesítési kérelem, amely tartomány-tippet vagy lekérdezési sztringet tartalmaz whr=contoso.com.

• Az OpenID Csatlakozás: domain_hint lekérdezési sztring paramétert használó alkalmazások esetén. Például domain_hint=contoso.com.

Alapértelmezés szerint a Microsoft Entra ID megpróbálja átirányítani a bejelentkezést egy tartomány konfigurált identitásszolgáltatójához, ha az alábbiak mindegyike igaz:

• Az alkalmazástól kapott hitelesítési kérelem tartalmaz egy tartományra vonatkozó tippet.
• A bérlő ezzel a tartománnyal van összevonva.

Ha a tartománymutató nem ellenőrzött összevont tartományra hivatkozik, figyelmen kívül hagyhatja.

Feljegyzés

Ha egy tartományra vonatkozó tipp szerepel egy hitelesítési kérelemben, és tiszteletben kell tartani, a jelenlét felülírja az alkalmazáshoz beállított automatikus gyorsítást a HRD-házirendben.

HRD-szabályzat az automatikus gyorsításhoz

Egyes alkalmazások nem biztosítanak módot az általuk küldött hitelesítési kérés konfigurálására. Ezekben az esetekben nem használható tartománymutató az automatikus gyorsítás szabályozására. Az automatikus gyorsítás a Home Realm Discovery szabályzattal konfigurálható ugyanahhoz a viselkedéshez.

HRD-szabályzat az automatikus gyorsítás megakadályozásához

Egyes Microsoft- és SaaS-alkalmazások automatikusan tartalmazzák a domain_hints (például https://outlook.com/contoso.com egy hozzáfűzött bejelentkezési kérést &domain_hint=contoso.com eredményeznek), ami megzavarhatja a felügyelt hitelesítő adatok( például a FIDO) létrehozását. A Home Realm Discovery szabályzatával figyelmen kívül hagyhatja bizonyos alkalmazások vagy bizonyos tartományok tartományra vonatkozó tippeit a felügyelt hitelesítő adatok bevezetése során.

Összevont felhasználók közvetlen ROPC-hitelesítésének engedélyezése örökölt alkalmazásokhoz

Ajánlott eljárás, ha az alkalmazások Microsoft Entra-kódtárakat és interaktív bejelentkezést használnak a felhasználók hitelesítéséhez. A kódtárak gondoskodnak az összevont felhasználói folyamatokról. Néha az örökölt alkalmazások, különösen az erőforrás-tulajdonosi jelszó hitelesítő adatait (ROPC) használó alkalmazások engedélyezik a felhasználónevet és a jelszót közvetlenül a Microsoft Entra-azonosítóhoz, és nem az összevonás megértéséhez vannak megírva. Nem végeznek HRD-t, és nem használják a megfelelő összevont végpontot a felhasználó hitelesítéséhez. Ha ezt választja, a Home Realm Discovery-szabályzattal engedélyezheti azokat az örökölt alkalmazásokat , amelyek a ROPC-engedély használatával küldik el a felhasználónevet/jelszó hitelesítő adatait a Közvetlenül a Microsoft Entra-azonosítóval történő hitelesítéshez, a jelszókivonat-szinkronizálást engedélyezni kell.

Fontos

Csak akkor engedélyezze a közvetlen hitelesítést, ha be van kapcsolva a Jelszókivonat szinkronizálása, és tudja, hogy a helyszíni identitásszolgáltató által implementált szabályzatok nélkül is hitelesítheti az alkalmazást. Ha bármilyen okból kikapcsolja a jelszókivonat-szinkronizálást, vagy bármilyen okból kikapcsolja a címtár-szinkronizálást az AD Csatlakozás, távolítsa el ezt a házirendet, hogy megakadályozza a közvetlen hitelesítést elavult jelszókivonat használatával.

HRD-szabályzat beállítása

A HRD-szabályzat beállításának három lépése van az összevont bejelentkezési automatikus gyorsításhoz vagy a közvetlen felhőalapú alkalmazásokhoz:

1. HRD-szabályzat létrehozása.

2. Keresse meg azt a szolgáltatásnevet, amelyhez csatolni szeretné a szabályzatot.

3. Csatolja a szabályzatot a szolgáltatásnévhez.

A szabályzatok csak akkor lépnek érvénybe egy adott alkalmazás esetében, ha egy szolgáltatásnévhez vannak csatolva.

Egyszerre csak egy HRD-szabályzat lehet aktív egy szolgáltatásnéven.

A Microsoft Graph PowerShell-parancsmagjaival HRD-szabályzatot hozhat létre és kezelhet.

A json-objektum egy példa HRD-szabályzatdefiníció:

{  
  "HomeRealmDiscoveryPolicy":
  {  
    "AccelerateToFederatedDomain":true,
    "PreferredDomain":"federated.example.edu",
    "AllowCloudPasswordValidation":false
  }
}

A szabályzat típusa a "HomeRealmDiscoveryPolicy".

A AccelerateToFederatedDomain nem kötelező. Ha az AccelerateToFederatedDomain értéke hamis, a szabályzatnak nincs hatása az automatikus gyorsításra. Ha az AccelerateToFederatedDomain igaz, és a bérlőben csak egy ellenőrzött és összevont tartomány található, akkor a felhasználók közvetlenül az összevont identitásszolgáltatóhoz kerülnek a bejelentkezéshez. Ha igaz, és több ellenőrzött tartomány is van a bérlőben, meg kell adni a PreferredDomain értéket.

A PreferredDomain megadása nem kötelező. A PreferredDomain tartományt kell jelölnie, amelyre fel kell gyorsítani. Kihagyható, ha a bérlő csak egy összevont tartománnyal rendelkezik. Ha nincs megadva, és több ellenőrzött összevont tartomány van, a szabályzatnak nincs hatása.

Ha a PreferredDomain meg van adva, annak meg kell egyeznie a bérlő ellenőrzött, összevont tartományával. Az alkalmazás minden felhasználójának képesnek kell lennie arra a tartományra bejelentkezni – azok a felhasználók, akik nem tudnak bejelentkezni az összevont tartományban, csapdába esnek, és nem tudják befejezni a bejelentkezést.

Az AllowCloudPasswordValidation megadása nem kötelező. Ha az AllowCloudPasswordValidation igaz, akkor az alkalmazás a felhasználónév/jelszó hitelesítő adatainak közvetlenül a Microsoft Entra-jogkivonat végpontján való bemutatásával hitelesítheti az összevont felhasználót. Ez csak akkor működik, ha a Jelszókivonat szinkronizálása engedélyezve van.

Emellett két bérlőszintű HRD-beállítás létezik, amelyek nem jelennek meg a cikk előző szakaszában:

• Az AlternateIdLogin nem kötelező. Ha engedélyezve van, az AlternateLoginIDlehetővé teszi, hogy a felhasználók a Microsoft Entra bejelentkezési oldalán az upn helyett az e-mail-címükkel jelentkezzenek be. A másodlagos azonosítók arra támaszkodnak, hogy a felhasználó nem lesz automatikusan felgyorsulva összevont identitásszolgáltatóra.

• A DomainHintPolicy egy opcionális összetett objektum, amely megakadályozza, hogy a tartománymutatók automatikusan felgyorsítják a felhasználókat az összevont tartományokra. Ez a bérlői szintű beállítás biztosítja, hogy a tartományi tippeket küldő alkalmazások ne akadályozzák meg a felhasználókat abban, hogy felhőalapúan felügyelt hitelesítő adatokkal jelentkezzenek be.

A HRD-szabályzatok prioritása és értékelése

A HRD-szabályzatok létrehozhatók, majd hozzárendelhetők adott szervezetekhez és szolgáltatásnevekhez. Ez azt jelenti, hogy több szabályzat is alkalmazható egy adott alkalmazásra, ezért a Microsoft Entra ID-nak kell eldöntenie, hogy melyik a elsőbbséget élvezi. Egy szabálykészlet dönti el, hogy melyik HRD-szabályzat lép érvénybe (több alkalmazott közül):

• Ha a hitelesítési kérelemben tartománymutató szerepel, akkor a rendszer ellenőrzi a bérlő HRD-szabályzatát (a bérlő alapértelmezettként beállított házirendet), és ellenőrzi, hogy figyelmen kívül kell-e hagyni a tartományi tippeket. Ha a tartománymutatók engedélyezettek, a rendszer a tartománymutató által megadott viselkedést használja.

• Ha egy szabályzat explicit módon van hozzárendelve a szolgáltatásnévhez, a rendszer kikényszeríti.

• Ha nincs tartományi tipp, és nincs kifejezetten hozzárendelve szabályzat a szolgáltatásnévhez, a rendszer kikényszeríti a szolgáltatásnév szülőszervezetéhez explicit módon hozzárendelt szabályzatot.

• Ha nincs tartományi tipp, és nincs hozzárendelve szabályzat a szolgáltatásnévhez vagy a szervezethez, a rendszer az alapértelmezett HRD-viselkedést használja.

Következő lépések

• Alkalmazás bejelentkezési viselkedésének konfigurálása Home Realm Discovery-szabályzat használatával
• Az összevont identitásszolgáltató automatikus gyorsításának letiltása a Home Realm Discovery szabályzattal való felhasználói bejelentkezés során
• Hitelesítési forgatókönyvek a Microsoft Entra-azonosítóhoz