Come usare i log di traccia Fiddler per l'AMF in Office 365 e Azure AD

Nota

Office 365 ProPlus viene rinominato in Microsoft 365 Apps for enterprise. Per ulteriori informazioni su questa modifica, leggere questo post di blog.

Riepilogo

In questo articolo viene introdotto il registro di traccia Fiddler per i seguenti scenari di autenticazione a più fattori (AMF):

  • Scenari di utilizzo dell'AMF
  • Quando il telefono non è a portata di mano o se il telefono non è selezionato
  • Quando viene attivato l'avviso di frode per bloccare l'account nel cloud
  • Per un account bloccato
  • Quando viene utilizzato il master per gli account gestiti

Ulteriori informazioni

Se un account utente è federato, l'utente viene reindirizzato al server token del servizio (STS) per l'autenticazione e a login.microsoftonline.com e il token SAML viene emesso dal servizio token di certificazione. Se l'utente è gestito, login.microsoftonline.com autentica l'utente tramite la password dell'utente.

L'AMF inizia dopo che la password dell'utente è stata verificata da Azure AD o STS. Il cookie SANeeded = 1 verrà impostato se l'utente è abilitato per l'autenticazione Mae in Office 365 o Azure directory. La comunicazione tra il client e login.microsoftonline.com dopo l'autenticazione della password utente è analoga alla seguente:

POST https://login.microsoftonline.com/login.srf HTTP/1.1
Host: login.microsoftonline.com

HTTP/1.1 302 Found

Set-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1 

Scenario 1: utilizzo degli scenari di AMF 

Il cookie SANeeded = 1 è impostato dopo l'autenticazione tramite password. Il traffico di rete viene quindi reindirizzato all'endpoint: https://login.microsoftonline.com/StrongAuthCheck.srf e sono richiesti i metodi di autenticazione disponibili.

Metodo di autenticazione

L'AMF inizia con BeginAuth e quindi la chiamata viene attivata sul back-end per il provider di servizi telefonici.

beginauth

Dopo che è stata avviata l'autorizzazione AMF, il client inizia a eseguire una query sullo stesso endpoint per il metodo EndAuth ogni 10 secondi per verificare se l'autenticazione è stata completata. Fino a quando la chiamata non è stata selezionata e verificata, il ResultValue viene restituito come AuthenticationPending.

endauth, metodo

Quando il telefono è stato selezionato e verificato, la risposta per la query successiva per EndAuth sarà una ResultValue di esito positivo. Inoltre, l'utente ha completato l'autenticazione di Mulitifactor. Anche il cookie set-cookie: SANeeded = xxxxxxx è impostato nella risposta, che verrà assegnata all'endpoint: login. SRF per completare l'autenticazione.

SRF di accesso

Scenario 2: quando il telefono non è in copertura o il telefono non è selezionato

Quando il telefono non viene selezionato e verificato entro 60 secondi dopo la chiamata, il ResultValue verrà impostato come UserVoiceAuthFailedPhoneUnreachable. E alla query successiva per il metodo EndAuth viene restituito UserVoiceAuthFailedPhoneUnreachable, come illustrato in Fiddler.

UserVoiceAuthFailedPhoneUnreachable

Scenario 3: quando viene attivato l'avviso di frode per bloccare l'account nel cloud

Quando il telefono non è stato selezionato e un avviso di frode inviato entro 60 secondi dopo la chiamata, il ResultValue verrà impostato come AuthenticationMethodFailed. E alla successiva query per il metodo EndAuth, viene restituita una risposta AuthenticationMethodFailed, come illustrato in Fiddler.

AuthenticationMethodFailed

Scenario 4: per un account bloccato

Se l'utente è bloccato, ResultValue verrà impostato come UserIsBlocked. Alla prima query per il metodo EndAuth verrà restituito UserIsBlocked, come illustrato in Fiddler.

userisblocked

Soluzione: in uno scenario di Azure AMF con una sottoscrizione di Azure, è possibile sbloccare prima di accedere a manage.windowsazure.com. Selezionare quindi directory > utenti e gestire > le impostazioni del serviziodi autenticazione a più fattori. Alla fine della pagina, selezionare Vai a portale. A questo punto, selezionare Blocca/Sblocca gli utenti per trovare l'elenco degli utenti bloccati.

Se l'autenticazione Master è abilitata tramite Office 365, aprire un caso di supporto con Microsoft per sbloccarla.

Scenario 5: AMF per gli account gestiti

In questo caso, l'autenticazione rimane invariata, ma gli endpoint saranno https://login.microsoftonline.com/common/SAS/BeginAuth e https://login.microsoftonline.com/common/SAS/EndAuth invece degli https://login.microsoftonline.com/StrongAuthCheck.srf account federati.