Active Directory Federation Services dukungan parameter prompt=login

Dokumen berikut menjelaskan dukungan asli untuk parameter prompt=login yang tersedia di Layanan Federasi Direktori Aktif.

Apa itu prompt=login?

Ketika aplikasi perlu meminta autentikasi baru dari Azure AD, yang berarti bahwa mereka perlu Azure AD untuk mengautentikasi ulang pengguna meskipun pengguna telah diautentikasi, mereka dapat mengirim prompt=login parameter ke Azure AD sebagai bagian dari permintaan autentikasi.

Ketika permintaan ini untuk pengguna federasi, Azure AD perlu menginformasikan IdP, seperti Layanan Federasi Direktori Aktif, bahwa permintaan tersebut untuk autentikasi baru.

Secara default, Azure AD diterjemahkan prompt=login ke wfresh=0 dan wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password saat mengirim jenis permintaan autentikasi ini ke IdP federasi.

Parameter ini berarti:

• wfresh=0: lakukan autentikasi baru
• wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: gunakan nama pengguna/kata sandi untuk permintaan autentikasi baru

Ini dapat menyebabkan masalah dengan intranet perusahaan dan skenario autentikasi multifaktor di mana jenis autentikasi selain nama pengguna dan kata sandi, seperti yang diminta oleh wauth parameter, diinginkan.

Layanan Federasi Direktori Aktif di Windows Server 2012 R2 dengan rollup pembaruan Juli 2016 memperkenalkan dukungan asli untuk parameter .prompt=login Ini berarti bahwa sekarang Azure AD dapat mengirim parameter ini apa adanya ke layanan Ad FS sebagai bagian dari permintaan autentikasi Azure AD dan Office 365.

Versi Layanan Federasi Direktori Aktif yang mendukung prompt=login

Berikut ini adalah daftar versi Layanan Federasi Direktori Aktif yang mendukung prompt=login parameter .

• Layanan Federasi Direktori Aktif di Windows Server 2012 R2 dengan rollup pembaruan Juli 2016
• Layanan Federasi Direktori Aktif di Windows Server 2016

Cara mengonfigurasi domain federasi untuk mengirim prompt=login ke Layanan Federasi Direktori Aktif

Gunakan modul Azure AD PowerShell untuk mengonfigurasi pengaturan.

Catatan

Kemampuan prompt=login (diaktifkan oleh PromptLoginBehavior properti ) saat ini hanya tersedia di versi 1.0 modul Azure AD Powershell, di mana cmdlet memiliki nama yang menyertakan "Msol", seperti Set-MsolDomainFederationSettings. Saat ini tidak tersedia melalui 'versi 2.0' dari modul PowerShell Azure AD, yang cmdletnya memiliki nama seperti "Set-AzureAD*". Ini adalah pengaturan per domain. Jika Anda memiliki beberapa domain yang digabungkan dengan satu federasi tunggal, diperlukan untuk menerapkan perubahan untuk setiap domain yang diinginkan.

1. Pertama-tama dapatkan nilai saat ini dari PreferredAuthenticationProtocol, SupportsMfa, dan PromptLoginBehavior untuk domain federasi dengan menjalankan perintah PowerShell berikut ini:

    Get-MsolDomainFederationSettings -DomainName <your_domain_name> | Format-List *

Catatan

Output secara Get-MsolDomainFederationSettings default tidak menampilkan properti tertentu di konsol. Untuk melihat semua properti, Anda harus menyalurkan (|) outputnya untuk Format-List * memaksa output semua properti objek.

Catatan

Jika nilai properti PromptLoginBehavior kosong ($null) perilaku TranslateToFreshPasswordAuth digunakan.

2. Konfigurasikan nilai yang diinginkan dengan PromptLoginBehavior menjalankan perintah berikut:

    Set-MsolDomainFederationSettings –DomainName <your_domain_name> -PreferredAuthenticationProtocol <current_value_from_step1> -SupportsMfa <current_value_from_step1> -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>

Berikut ini adalah nilai PromptLoginBehavior parameter yang mungkin dan maknanya:

• TranslateToFreshPasswordAuth: berarti perilaku Azure AD default menerjemahkan prompt=login ke wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password dan wfresh=0.
• NativeSupport: berarti bahwa prompt=login parameter akan dikirim apa adanya ke Layanan Federasi Direktori Aktif. Ini adalah nilai yang direkomendasikan jika Layanan Federasi Direktori Aktif berada di Windows Server 2012 R2 dengan rollup pembaruan Juli 2016 atau yang lebih tinggi.
• Dinonaktifkan: berarti bahwa hanya wfresh=0 yang dikirim ke Layanan Federasi Direktori Aktif.