Início Realm Discovery para um aplicativo

O Home Realm Discovery (HRD) é o processo que permite que o Microsoft Entra ID determine com qual provedor de identidade (IDP) um usuário precisa se autenticar no momento do login. Quando um usuário entra em um locatário do Microsoft Entra para acessar um recurso ou na página de entrada comum do Microsoft Entra, ele digita um nome de usuário (UPN). O Microsoft Entra ID usa isso para descobrir onde o usuário precisa entrar.

O usuário é levado a um dos seguintes provedores de identidade para ser autenticado:

• O locatário inicial do usuário (pode ser o mesmo locatário que o recurso que o usuário está tentando acessar).

• Conta Microsoft. O usuário é um convidado no locatário de recurso que usa uma conta de consumidor para autenticação.

• Um provedor de identidade local, como os Serviços de Federação do Ative Directory (ADFS).

• Outro provedor de identidade federado com o locatário do Microsoft Entra.

Aceleração automática

Algumas organizações configuram domínios em seu locatário do Microsoft Entra para federar com outro IdP, como o ADFS para autenticação de usuário.

Quando um utilizador inicia sessão numa aplicação, é-lhe apresentada pela primeira vez uma página de início de sessão do Microsoft Entra. Depois de digitarem seu UPN, se estiverem em um domínio federado, serão levados para a página de entrada do IdP que serve esse domínio. Em determinadas circunstâncias, os administradores podem querer direcionar os utilizadores para a página de início de sessão quando iniciam sessão em aplicações específicas.

Como resultado, os usuários podem ignorar a página inicial do Microsoft Entra ID. Esse processo é conhecido como "aceleração automática de entrada". A Microsoft não recomenda mais configurar a aceleração automática, pois ela pode impedir o uso de métodos de autenticação mais fortes, como FIDO, e dificultar a colaboração. Consulte Ativar o início de sessão com chave de segurança sem palavra-passe para saber as vantagens de não configurar a aceleração automática. Para saber como impedir a aceleração automática de início de sessão, consulte Desativar o início de sessão de aceleração automática.

Nos casos em que o locatário é federado a outro IdP para entrada, a aceleração automática torna o login do usuário mais simplificado. Você pode configurar a aceleração automática para aplicativos individuais. Consulte Configurar aceleração automática para saber como forçar a aceleração automática usando HRD.

Nota

Se você configurar um aplicativo para aceleração automática, os usuários não poderão usar credenciais gerenciadas (como FIDO) e os usuários convidados não poderão entrar. Se você levar um usuário diretamente para um IdP federado para autenticação, não há como ele voltar para a página de entrada do Microsoft Entra. Os utilizadores convidados, que poderão ter de ser direcionados para outros inquilinos ou para um IdP externo, como uma conta Microsoft, não podem iniciar sessão nessa aplicação porque estão a ignorar o passo HRD.

Há três maneiras de controlar a aceleração automática para um IdP federado:

• Use uma dica de domínio em solicitações de autenticação para um aplicativo.
• Configure uma política de DRH para forçar a aceleração automática.
• Configure uma política de DRH para ignorar dicas de domínio de aplicativos específicos ou para determinados domínios.

Caixa de diálogo de confirmação de domínio

A partir de abril de 2023, as organizações que usam aceleração automática ou links inteligentes podem começar a ver uma nova tela adicionada à interface do usuário de entrada. Esta tela, denominada Caixa de Diálogo de Confirmação de Domínio, faz parte do compromisso geral da Microsoft com a proteção de segurança e exige que o usuário confirme o domínio do locatário no qual está entrando. Cancele o fluxo de autenticação e entre em contato com o administrador de TI (se aplicável) se vir a caixa de diálogo de confirmação de domínio e não reconhecer o domínio de locatário listado. Aqui está um exemplo de como a caixa de diálogo de confirmação de domínio pode parecer para você:

O identificador na parte superior da caixa de diálogo, kelly@contoso.com, representa o identificador usado para entrar. O domínio do locatário listado no cabeçalho e subcabeçalho da caixa de diálogo mostra o domínio do locatário doméstico da conta.

Embora a Caixa de Diálogo de Confirmação de Domínio não precise ser mostrada para todas as instâncias de aceleração automática ou links inteligentes, a Caixa de Diálogo de Confirmação de Domínio significa aceleração automática e os links inteligentes não podem mais prosseguir sem problemas quando mostrados. Se a sua organização limpar os cookies devido às políticas do navegador ou de outra forma, a caixa de diálogo de confirmação de domínio poderá ocorrer com mais frequência. Finalmente, dado que o Microsoft Entra ID gerencia o fluxo de entrada de aceleração automática de ponta a ponta, a introdução da Caixa de Diálogo de Confirmação de Domínio não deve resultar em nenhuma quebra de aplicativo.

Além disso, você pode suprimir a caixa de diálogo de confirmação de domínio configurando uma política de restrições de locatário v2 (TRv2). Uma política TRv2 alcança a mesma postura de segurança que a Caixa de Diálogo de Confirmação de Domínio e, portanto, quando um cabeçalho de política TRv2 está presente na solicitação, a Caixa de Diálogo de Confirmação de Domínio é suprimida.

Dicas de domínio

Dicas de domínio são diretivas incluídas na solicitação de autenticação de um aplicativo. Eles podem ser usados para acelerar o usuário para sua página de entrada IdP federada. Os aplicativos multilocatários também podem usá-los para acelerar o usuário diretamente para a página de entrada do Microsoft Entra de marca para seu locatário.

Por exemplo, o aplicativo "largeapp.com" pode permitir que seus clientes acessem o aplicativo em uma URL personalizada "contoso.largeapp.com". O aplicativo também pode incluir uma dica de domínio para contoso.com na solicitação de autenticação.

A sintaxe de dica de domínio varia dependendo do protocolo usado e é configurada no aplicativo das seguintes maneiras:

• Para aplicativos que usam o parâmetro WS-Federation: whr query string. Por exemplo, whr=contoso.com.

• Para aplicativos que usam o SAML (Security Assertion Markup Language): uma solicitação de autenticação SAML que contém uma dica de domínio ou uma cadeia de caracteres de consulta whr=contoso.com.

• Para aplicativos que usam o parâmetro OpenID Connect: domain_hint query string. Por exemplo, domain_hint=contoso.com.

Por padrão, a ID do Microsoft Entra tenta redirecionar a entrada para o IDP configurado para um domínio se ambas as situações a seguir forem verdadeiras:

• Uma dica de domínio é incluída na solicitação de autenticação do aplicativo.
• O locatário é federado com esse domínio.

Se a dica de domínio não se referir a um domínio federado verificado, você poderá ignorá-la.

Nota

Se uma dica de domínio for incluída em uma solicitação de autenticação e dever ser respeitada, sua presença substituirá a aceleração automática definida para o aplicativo na política HRD.

Política de DRH para aceleração automática

Alguns aplicativos não fornecem uma maneira de configurar a solicitação de autenticação que emitem. Nesses casos, não é possível usar dicas de domínio para controlar a aceleração automática. A aceleração automática pode ser configurada por meio da política Home Realm Discovery para obter o mesmo comportamento.

Política de DRH para evitar a aceleração automática

Alguns aplicativos Microsoft e SaaS incluem automaticamente domain_hints (por exemplo, resulta em uma solicitação de entrada com &domain_hint=contoso.com anexo), o que pode interromper a implantação de credenciais gerenciadas, https://outlook.com/contoso.com como FIDO. Você pode usar a política Home Realm Discovery para ignorar dicas de domínio de determinados aplicativos ou para determinados domínios, durante a distribuição de credenciais gerenciadas.

Habilite a autenticação ROPC direta de usuários federados para aplicativos herdados

A prática recomendada é que os aplicativos usem bibliotecas do Microsoft Entra e entrada interativa para autenticar usuários. As bibliotecas cuidam dos fluxos de usuários federados. Às vezes, aplicativos herdados, especialmente aplicativos que usam concessões ROPC (Resource Owner Password Credentials), enviam nome de usuário e senha diretamente para o Microsoft Entra ID e não são escritos para entender a federação. Eles não executam HRD e não interagem com o ponto de extremidade federado correto para autenticar um usuário. Se você optar por, você pode usar a política Home Realm Discovery para habilitar aplicativos herdados específicos que enviam credenciais de nome de usuário/senha usando a concessão ROPC para autenticar diretamente com o ID do Microsoft Entra, a Sincronização de Hash de Senha deve ser habilitada.

Importante

Só habilite a autenticação direta se você tiver a Sincronização de Hash de Senha ativada e souber que não há problema em autenticar esse aplicativo sem nenhuma política implementada pelo seu IdP local. Se você desativar a Sincronização de Hash de Senha ou desativar a Sincronização de Diretórios com o AD Connect por qualquer motivo, remova essa política para evitar a possibilidade de autenticação direta usando um hash de senha obsoleto.

Definir política de DRH

Há três etapas para definir a política de HRD em um aplicativo para aceleração automática de entrada federada ou aplicativos diretos baseados em nuvem:

1. Crie uma política de DRH.

2. Localize a entidade de serviço à qual anexar a política.

3. Anexe a política à entidade de serviço.

As políticas só entram em vigor para um aplicativo específico quando estão conectadas a uma entidade de serviço.

Apenas uma política de DRH pode estar ativa em uma entidade de serviço a qualquer momento.

Você pode usar os cmdlets do Microsoft Graph PowerShell para criar e gerenciar a política de DRH.

O objeto json é um exemplo de definição de política de DRH:

{  
  "HomeRealmDiscoveryPolicy":
  {  
    "AccelerateToFederatedDomain":true,
    "PreferredDomain":"federated.example.edu",
    "AllowCloudPasswordValidation":false
  }
}

O tipo de política é "HomeRealmDiscoveryPolicy".

AccelerateToFederatedDomain é opcional. Se AccelerateToFederatedDomain for false, a política não terá efeito sobre a aceleração automática. Se AccelerateToFederatedDomain for true e houver apenas um domínio verificado e federado no locatário, os usuários serão levados diretamente para o IdP federado para entrar. Se for verdadeiro e houver mais de um domínio verificado no locatário, PreferredDomain deverá ser especificado.

PreferredDomain é opcional. PreferredDomain deve indicar um domínio para o qual acelerar. Ele pode ser omitido se o locatário tiver apenas um domínio federado. Se for omitida e houver mais de um domínio federado verificado, a política não terá efeito.

Se PreferredDomain for especificado, ele deverá corresponder a um domínio federado verificado para o locatário. Todos os usuários do aplicativo devem ser capazes de entrar nesse domínio - os usuários que não podem entrar no domínio federado estão presos e não conseguem concluir o login.

AllowCloudPasswordValidation é opcional. Se AllowCloudPasswordValidation for true, o aplicativo terá permissão para autenticar um usuário federado apresentando credenciais de nome de usuário/senha diretamente ao ponto de extremidade do token Microsoft Entra. Isso só funciona se a Sincronização de Hash de Senha estiver habilitada.

Além disso, existem duas opções de DRH no nível do locatário, não mostradas na seção anterior deste artigo:

• AlternateIdLogin é opcional. Se habilitado, AlternateLoginIDpermite que os usuários entrem com seus endereços de email em vez de seu UPN na página de entrada do Microsoft Entra. IDs alternativos dependem de o usuário não ser acelerado automaticamente para um IDP federado.

• DomainHintPolicy é um objeto complexo opcional que impede que as dicas de domínio acelerem automaticamente os usuários para domínios federados. Essa configuração de todo o locatário é usada para garantir que os aplicativos que enviam dicas de domínio não impeçam os usuários de entrar com credenciais gerenciadas na nuvem.

Prioridade e avaliação das políticas de DHD

As políticas de DRH podem ser criadas e, em seguida, atribuídas a organizações e entidades de serviço específicas. Isso significa que é possível que várias políticas se apliquem a um aplicativo específico, portanto, o Microsoft Entra ID deve decidir qual delas tem precedência. Um conjunto de regras decide qual política de DRH (de muitas aplicadas) entra em vigor:

• Se uma dica de domínio estiver presente na solicitação de autenticação, a política de DRH para o locatário (a política definida como padrão do locatário) será verificada para ver se as dicas de domínio devem ser ignoradas. Se as dicas de domínio forem permitidas, o comportamento especificado pela dica de domínio será usado.

• Se uma política for atribuída explicitamente à entidade de serviço, ela será imposta.

• Se não houver nenhuma dica de domínio e nenhuma política for explicitamente atribuída à entidade de serviço, uma política atribuída explicitamente à organização pai da entidade de serviço será imposta.

• Se não houver nenhuma dica de domínio e nenhuma política for atribuída à entidade de serviço ou à organização, o comportamento padrão de DRH será usado.

Próximos passos

• Configurar o comportamento de entrada para um aplicativo usando uma política de Descoberta de Território Doméstico
• Desative a aceleração automática para um IDP federado durante o login do usuário com a política Home Realm Discovery
• Cenários de autenticação para o Microsoft Entra ID