Gambaran umum autentikasi berbasis sertifikat Microsoft Entra
Autentikasi berbasis sertifikat (CBA) Microsoft Entra memungkinkan pelanggan mengizinkan atau mengharuskan pengguna untuk mengautentikasi langsung dengan sertifikat X.509 terhadap ID Microsoft Entra mereka untuk aplikasi dan masuk browser. Fitur ini memungkinkan pelanggan untuk mengadopsi autentikasi tahan pengelabuan dan mengautentikasi dengan sertifikat X.509 terhadap Infrastruktur Kunci Umum (PKI) mereka.
Apa itu Microsoft Entra CBA?
Sebelum dukungan yang dikelola cloud untuk CBA ke ID Microsoft Entra, pelanggan harus menerapkan autentikasi berbasis sertifikat federasi, yang mengharuskan penyebaran Layanan Federasi Direktori Aktif (AD FS) untuk dapat mengautentikasi menggunakan sertifikat X.509 terhadap ID Microsoft Entra. Dengan autentikasi berbasis sertifikat Microsoft Entra, pelanggan dapat mengautentikasi langsung terhadap ID Microsoft Entra dan menghilangkan kebutuhan akan Layanan Federasi Direktori Aktif federasi, dengan lingkungan pelanggan yang disederhanakan dan pengurangan biaya.
Gambar berikut menunjukkan bagaimana Microsoft Entra CBA menyederhanakan lingkungan pelanggan dengan menghilangkan Layanan Federasi Direktori Aktif gabungan.
Autentikasi berbasis sertifikat dengan FS AD gabungan
Autentikasi berbasis sertifikat Microsoft Entra
Manfaat utama menggunakan Microsoft Entra CBA
| Keuntungan | Deskripsi |
|---|---|
| Pengalaman pengguna yang luar biasa | - Pengguna yang membutuhkan autentikasi berbasis sertifikat sekarang dapat langsung mengautentikasi terhadap ID Microsoft Entra dan tidak perlu berinvestasi di Layanan Federasi Direktori Aktif gabungan. - Portal antarmuka pengguna memungkinkan pengguna untuk dengan mudah mengkonfigurasi cara memetakan bidang sertifikat ke atribut objek pengguna untuk mencari pengguna di penyewa (pengikatan nama pengguna sertifikat) - Portal antarmuka pengguna untuk mengonfigurasi kebijakan autentikasi untuk membantu menentukan sertifikat mana yang merupakan faktor tunggal versus multifaktor. |
| Mudah untuk menyebarkan dan mengelola | - Microsoft Entra CBA adalah fitur gratis, dan Anda tidak memerlukan ID Microsoft Entra edisi berbayar untuk menggunakannya. Tidak perlu penyebaran lokal atau konfigurasi jaringan yang kompleks. - Autentikasi langsung terhadap ID Microsoft Entra. |
| Mengamankan | - Kata sandi lokal tidak perlu disimpan di cloud dalam bentuk apa pun. - Melindungi akun pengguna Anda dengan bekerja tanpa hambatan dengan kebijakan Akses Bersyarat Microsoft Entra, termasuk autentikasi multifaktor Tahan Phishing (MFA memerlukan edisi berlisensi) dan memblokir autentikasi warisan. - Dukungan autentikasi yang kuat di mana pengguna dapat menentukan kebijakan autentikasi melalui bidang sertifikat, seperti penerbit atau OID kebijakan (pengidentifikasi objek), untuk menentukan sertifikat mana yang memenuhi syarat sebagai faktor tunggal versus multifaktor. - Fitur ini bekerja dengan mulus dengan fitur Akses Bersyar dan kemampuan kekuatan autentikasi untuk memberlakukan MFA untuk membantu mengamankan pengguna Anda. |
Skenario yang didukung
Skenario berikut didukung:
- Kredensial masuk pengguna ke aplikasi berbasis browser web.
- Masuk pengguna ke aplikasi seluler Office di platform iOS/Android serta aplikasi asli Office di Windows, termasuk Outlook, OneDrive, dan sebagainya.
- Kredensial masuk pengguna di browser asli seluler.
- Dukungan untuk aturan autentikasi granular untuk autentikasi multifaktor dengan menggunakan penerbit sertifikat Subjek dan OID kebijakan.
- Mengonfigurasi pengikatan akun sertifikat ke pengguna dengan menggunakan salah satu bidang sertifikat:
- Nama Pengganti Subjek (SAN) PrincipalName dan SAN RFC822Name
- Pengidentifikasi Kunci Subjek (SKI) dan SHA1PublicKey
- Penerbit + Subjek, Subjek dan Penerbit + SerialNumber
- Mengonfigurasi pengikatan akun sertifikat ke pengguna dengan menggunakan salah satu atribut objek pengguna:
- Nama Utama Pengguna
- onPremisesUserPrincipalName
- CertificateUserIds
Skenario yang tidak didukung
Skenario berikut tidak didukung:
- Petunjuk Otoritas Sertifikat tidak didukung, sehingga daftar sertifikat yang muncul untuk pengguna di UI pemilih sertifikat tidak terlingkup.
- Hanya satu CRL Distribution Point (CDP) untuk CA tepercaya yang didukung.
- CDP hanya dapat berupa URL HTTP. Kami tidak mendukung URL Online Certificate Status Protocol (OCSP), atau Lightweight Directory Access Protocol (LDAP).
- Kata sandi sebagai metode autentikasi tidak dapat dinonaktifkan dan opsi untuk masuk menggunakan kata sandi ditampilkan bahkan dengan metode Microsoft Entra CBA yang tersedia untuk pengguna.
Batasan yang Diketahui dengan sertifikat Windows Hello For Business
- Meskipun Windows Hello For Business (WHFB) dapat digunakan untuk autentikasi multifaktor di MICROSOFT Entra ID, WHFB tidak didukung untuk MFA baru. Pelanggan dapat memilih untuk mendaftarkan sertifikat untuk pengguna Anda menggunakan pasangan kunci WHFB. Saat dikonfigurasi dengan benar, sertifikat WHFB ini dapat digunakan untuk autentikasi multifaktor di ID Microsoft Entra. Sertifikat WHFB kompatibel dengan autentikasi berbasis sertifikat (CBA) Microsoft Entra di browser Edge dan Chrome; namun, saat ini sertifikat WHFB tidak kompatibel dengan Microsoft Entra CBA dalam skenario non-browser (misalnya aplikasi Office 365). Solusinya adalah menggunakan opsi "Masuk ke Windows Hello atau kunci keamanan" untuk masuk (jika tersedia) karena opsi ini tidak menggunakan sertifikat untuk autentikasi dan menghindari masalah dengan Microsoft Entra CBA; namun, opsi ini mungkin tidak tersedia di beberapa aplikasi yang lebih lama.
Di Luar Cakupan
Skenario berikut berada di luar cakupan untuk Microsoft Entra CBA:
- Infrastruktur Kunci Publik untuk membuat sertifikat klien. Pelanggan perlu mengonfigurasi Infrastruktur Kunci Publik (PKI) mereka sendiri dan memberikan sertifikat kepada pengguna dan perangkat mereka.