Metody uwierzytelniania w usłudze Microsoft Entra ID — tokeny OATH

  • Artykuł

Hasło jednorazowe (TOTP) oparte na protokole OATH to otwarty standard określający sposób generowania kodów haseł jednorazowych (OTP). Protokół OATH TOTP można zaimplementować przy użyciu oprogramowania lub sprzętu w celu wygenerowania kodów. Microsoft Entra ID nie obsługuje protokołu OATH HOTP, innego standardu generowania kodu.

Tokeny oprogramowania OATH

Programowe tokeny OATH to zazwyczaj aplikacje, takie jak aplikacja Microsoft Authenticator i inne aplikacje uwierzytelniające. Microsoft Entra ID generuje tajny klucz lub seed, który jest wprowadzany do aplikacji i używany do generowania każdego OTP.

Aplikacja Authenticator automatycznie generuje kody podczas konfigurowania powiadomień wypychanych, dzięki czemu użytkownik ma kopię zapasową, nawet jeśli urządzenie nie ma łączności. Mogą być również używane aplikacje innych firm korzystające z protokołu OATH TOTP do generowania kodów.

Niektóre tokeny sprzętowe OATH TOTP są programowalne, co oznacza, że nie mają klucza tajnego ani wstępnie zaprogramowanego inicjatora. Te programowalne tokeny sprzętowe można skonfigurować przy użyciu klucza tajnego lub inicjowania uzyskanego z przepływu konfiguracji tokenu oprogramowania. Klienci mogą zakupić te tokeny od wybranego dostawcy i użyć klucza tajnego lub inicjowania w procesie konfiguracji dostawcy.

Tokeny sprzętowe OATH (wersja zapoznawcza)

Microsoft Entra ID obsługuje tokeny SHA-1 OATH-TOTP, które odświeżają kody co 30 lub 60 sekund. Klienci mogą zakupić te tokeny od wybranego dostawcy. Tokeny OATH sprzętu są dostępne dla użytkowników z licencją Microsoft Entra ID P1 lub P2.

Ważne

Wersja zapoznawcza jest obsługiwana tylko w chmurach globalnych platformy Azure i platformy Azure Government.

Tokeny sprzętowe OATH TOTP zwykle są dostarczane z kluczem tajnym lub inicjatorem wstępnie zaprogramowanym w tokenie. Te klucze muszą być danymi wejściowymi do identyfikatora Entra firmy Microsoft, zgodnie z opisem w poniższych krokach. Klucze tajne są ograniczone do 128 znaków, które nie są zgodne z niektórymi tokenami. Klucz tajny może zawierać tylko znaki a-z lub A-Z i cyfry 2-7 i muszą być zakodowane w bazie Base32.

Programowalne tokeny sprzętowe OATH TOTP, które można ponownie przesłać, można również skonfigurować za pomocą identyfikatora Microsoft Entra w przepływie konfiguracji tokenu oprogramowania.

Tokeny sprzętowe OATH są obsługiwane w ramach publicznej wersji zapoznawczej. Aby uzyskać więcej informacji na temat wersji zapoznawczych, zobacz temat Dodatkowe warunki użytkowania dotyczące wersji zapoznawczych platformy Microsoft Azure.

Zrzut ekranu przedstawiający zarządzanie tokenami OATH.

Po uzyskaniu tokenów należy przekazać je w formacie pliku wartości rozdzielanych przecinkami (CSV). Plik powinien zawierać nazwę UPN, numer seryjny, klucz tajny, interwał czasu, producent i model, jak pokazano w poniższym przykładzie:

upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey

Uwaga

Upewnij się, że wiersz nagłówka został uwzględniny w pliku CSV.

Po poprawnym sformatowaniu jako pliku CSV globalny Administracja istrator może następnie zalogować się do centrum administracyjnego firmy Microsoft Entra, przejść do pozycji Ochrona>tokenów OATH uwierzytelniania>wieloskładnikowego i przekazać wynikowy plik CSV.

W zależności od rozmiaru pliku CSV przetwarzanie może potrwać kilka minut. Wybierz przycisk Odśwież, aby uzyskać bieżący stan. Jeśli w pliku występują błędy, możesz pobrać plik CSV zawierający listę błędów, które można rozwiązać. Nazwy pól w pobranym pliku CSV różnią się od przekazanej wersji.

Po usunięciu wszelkich błędów administrator może aktywować każdy klucz, wybierając pozycję Aktywuj dla tokenu i wprowadzając protokół OTP wyświetlany w tokenie. Możesz aktywować maksymalnie 200 tokenów OATH co 5 minut.

Użytkownicy mogą mieć kombinację maksymalnie pięciu tokenów sprzętowych OATH lub aplikacji uwierzytelnianych, takich jak aplikacja Microsoft Authenticator, skonfigurowana do użycia w dowolnym momencie. Tokeny sprzętu OATH nie mogą być przypisane do użytkowników-gości w dzierżawie zasobów.

Ważne

Pamiętaj, aby przypisać tylko każdy token do pojedynczego użytkownika. W przyszłości obsługa przypisania pojedynczego tokenu do wielu użytkowników zatrzymuje się, aby zapobiec ryzyku bezpieczeństwa.

Rozwiązywanie problemów z błędem podczas przetwarzania przekazywania

Czasami mogą występować konflikty lub problemy występujące podczas przetwarzania przekazywania pliku CSV. Jeśli wystąpi jakikolwiek konflikt lub problem, otrzymasz powiadomienie podobne do następującego:

Zrzut ekranu przedstawiający przykład błędu przekazywania.

Aby określić komunikat o błędzie, upewnij się, że wybierz pozycję Wyświetl szczegóły. Zostanie otwarty blok Stan tokenu sprzętowego i zawiera podsumowanie stanu przekazywania. Pokazuje, że wystąpił błąd lub wiele błędów, jak w poniższym przykładzie:

Zrzut ekranu przedstawiający przykład stanu tokenu sprzętowego.

Aby określić przyczynę błędu na liście, kliknij pole wyboru obok stanu, który chcesz wyświetlić, co aktywuje opcję Pobierz . Spowoduje to pobranie pliku CSV zawierającego zidentyfikowany błąd.

Zrzut ekranu przedstawiający przykład stanu pobierania.

Pobrany plik ma nazwę Failures_filename.csv gdzie nazwa pliku jest nazwą przekazanego pliku. Jest on zapisywany w domyślnym katalogu pobierania dla przeglądarki.

W tym przykładzie pokazano błąd zidentyfikowany jako użytkownik, który obecnie nie istnieje w katalogu dzierżawy:

Zrzut ekranu przedstawiający przykład przyczyny błędu.

Po usunięciu wymienionych błędów przekaż plik CSV ponownie do momentu pomyślnego jego przetwarzania. Informacje o stanie każdej próby pozostają przez 30 dni. Wolumin CSV można usunąć ręcznie, klikając pole wyboru obok stanu, a następnie wybierając pozycję Usuń stan w razie potrzeby.

Określanie typu rejestracji tokenu OATH

Użytkownicy mogą zarządzać rejestracjami tokenów OATH i dodawać je, korzystając z informacji o zabezpieczeniach lub wybierając pozycję Informacje o zabezpieczeniach w obszarze Moje konto. Określone ikony służą do rozróżniania, czy rejestracja tokenu OATH jest sprzętowa czy programowa.

Typ rejestracji tokenu Ikona
Token oprogramowania OATH Token OATH oprogramowania
Token sprzętowy OATH Sprzętowy token OATH

Następne kroki

Dowiedz się więcej na temat konfigurowania metod uwierzytelniania przy użyciu interfejsu API REST programu Microsoft Graph. Dowiedz się więcej o dostawcach kluczy zabezpieczeń FIDO2, którzy są zgodni z uwierzytelnianiem bez hasła.