Identifiering av hemsfär för ett program

Home Realm Discovery (HRD) är den process som gör det möjligt för Azure Active Directory (Azure AD) att avgöra vilken identitetsprovider ("IdP") en användare behöver autentisera med vid inloggning. När en användare loggar in på en Azure AD-klientorganisation för att få åtkomst till en resurs, eller på den vanliga inloggningssidan för Azure AD, skriver de ett användarnamn (UPN). Azure AD använder det för att identifiera var användaren behöver logga in.

Användaren tas till en av följande identitetsprovidrar som ska autentiseras:

  • Användarens hemklient (kan vara samma klientorganisation som den resurs som användaren försöker komma åt).

  • Microsoft-konto. Användaren är en gäst i resursklientorganisationen som använder ett konsumentkonto för autentisering.

  • En lokal identitetsprovider, till exempel Active Directory Federation Services (AD FS).

  • En annan identitetsprovider som är federerad med Azure AD-klientorganisationen.

Automatisk acceleration

Vissa organisationer konfigurerar domäner i sin Azure AD-klientorganisation för att federera med en annan IdP, till exempel AD FS för användarautentisering.

När en användare loggar in på ett program visas de först med en Azure AD-inloggningssida. När de har skrivit sitt UPN tas de till inloggningssidan för den IdP som betjänar domänen om de befinner sig i en federerad domän. Under vissa omständigheter kan administratörer vilja dirigera användare till inloggningssidan när de loggar in på specifika program.

Därför kan användarna hoppa över den första Azure AD-sidan. Den här processen kallas för "automatisk inloggningsacceleration". Microsoft rekommenderar inte att du konfigurerar automatisk acceleration längre, eftersom det kan förhindra användning av starkare autentiseringsmetoder som FIDO och hindrar samarbete. Se Aktivera inloggning med lösenordslös säkerhetsnyckel för att lära dig fördelarna med att inte konfigurera automatisk acceleration. Information om hur du förhindrar automatisk inloggningsacceleration finns i Inaktivera automatisk accelerationsinloggning.

I de fall då klientorganisationen är federerad till en annan IdP för inloggning gör automatisk acceleration användarnas inloggning mer effektiv. Du kan konfigurera automatisk acceleration för enskilda program. Se Konfigurera automatisk acceleration för att lära dig hur du framtvingar automatisk acceleration med HRD.

Anteckning

Om du konfigurerar ett program för automatisk acceleration kan användarna inte använda hanterade autentiseringsuppgifter (som FIDO) och gästanvändare kan inte logga in. Om du tar en användare direkt till en federerad IdP för autentisering finns det inget sätt för dem att komma tillbaka till Azure AD-inloggningssidan. Gästanvändare som kan behöva dirigeras till andra klienter eller en extern IdP, till exempel ett Microsoft-konto, kan inte logga in på programmet eftersom de hoppar över HRD-steget.

Det finns tre sätt att styra automatisk acceleration till en federerad IdP:

Domäntips

Domäntips är direktiv som ingår i autentiseringsbegäran från ett program. De kan användas för att påskynda användaren till deras federerade IdP-inloggningssida. Eller så kan de användas av ett program med flera klientorganisationer för att påskynda användaren direkt till den märkta Azure AD-inloggningssidan för klientorganisationen.

Till exempel kan programmet "largeapp.com" göra det möjligt för sina kunder att komma åt programmet på en anpassad URL "contoso.largeapp.com". Appen kan också innehålla ett domäntips för att contoso.com i autentiseringsbegäran.

Syntaxen för domäntips varierar beroende på vilket protokoll som används och konfigureras vanligtvis i programmet på följande sätt:

  • För program som använderWS-Federation: whr=contoso.com i frågesträngen.

  • För program som använder SAML: Antingen en SAML-autentiseringsbegäran som innehåller ett domäntips eller en frågesträng whr=contoso.com.

  • För program som använder Open ID Connect: En frågesträng domain_hint=contoso.com.

Som standard försöker Azure AD omdirigera inloggningen till den IdP som har konfigurerats för en domän om båda följande är sanna:

  • Ett domäntips ingår i autentiseringsbegäran från programmet och
  • Klientorganisationen är federerad med den domänen.

Om domäntipset inte refererar till en verifierad federerad domän ignoreras den.

Anteckning

Om ett domäntips ingår i en autentiseringsbegäran och bör respekteras åsidosätter dess närvaro automatisk acceleration som har angetts för programmet i HRD-principen.

HRD-princip för automatisk acceleration

Vissa program tillhandahåller inte ett sätt att konfigurera den autentiseringsbegäran som de genererar. I dessa fall går det inte att använda domäntips för att styra automatisk acceleration. Automatisk acceleration kan konfigureras via home realm discovery-principen för att uppnå samma beteende.

HRD-princip för att förhindra automatisk acceleration

Vissa Microsoft- och SaaS-program inkluderar automatiskt domain_hints (till exempel https://outlook.com/contoso.com resulterar i en inloggningsbegäran med &domain_hint=contoso.com bifogad), vilket kan störa distributionen av hanterade autentiseringsuppgifter som FIDO. Du kan använda principen För identifiering av hemsfär för att ignorera domäntips från vissa appar eller för vissa domäner under distributionen av hanterade autentiseringsuppgifter.

Aktivera direkt ROPC-autentisering av federerade användare för äldre program

Bästa praxis är att program använder Azure AD-bibliotek och interaktiv inloggning för att autentisera användare. Biblioteken tar hand om de federerade användarflödena. Ibland beviljar äldre program, särskilt de som använder autentiseringsuppgifter för resursägares lösenord (ROPC), användarnamn och lösenord direkt till Azure AD och skrivs inte för att förstå federation. De utför inte HRD och interagerar inte med rätt federerad slutpunkt för att autentisera en användare. Om du väljer att använda principen För identifiering av hemsfär för att aktivera specifika äldre program som skickar autentiseringsuppgifter för användarnamn/lösenord med hjälp av ROPC-beviljandet för att autentisera direkt med Azure AD måste synkronisering av lösenordshash vara aktiverat.

Viktigt

Aktivera endast direkt autentisering om du har aktiverat synkronisering av lösenordshash och du vet att det är okej att autentisera det här programmet utan några principer som implementeras av din lokala IdP. Om du inaktiverar synkronisering av lösenordshash eller inaktiverar katalogsynkronisering med AD Connect av någon anledning bör du ta bort den här principen för att förhindra möjligheten till direkt autentisering med en inaktuell lösenordshash.

Ange HRD-princip

Det finns tre steg för att ange HRD-princip för ett program för federerad automatisk acceleration av inloggning eller direkta molnbaserade program:

  1. Skapa en HRD-princip.

  2. Leta upp tjänstens huvudnamn som principen ska kopplas till.

  3. Koppla principen till tjänstens huvudnamn.

Principer börjar gälla endast för ett specifikt program när de är kopplade till ett huvudnamn för tjänsten.

Endast en HRD-princip kan vara aktiv på ett tjänsthuvudnamn samtidigt.

Du kan använda Azure AD PowerShell-cmdletar för att skapa och hantera HRD-principer.

json-objektet är ett exempel på en HRD-principdefinition:

{  
  "HomeRealmDiscoveryPolicy":
  {  
    "AccelerateToFederatedDomain":true,
    "PreferredDomain":"federated.example.edu",
    "AllowCloudPasswordValidation":false,    
  }
}

Principtypen är "HomeRealmDiscoveryPolicy".

AccelerateToFederatedDomain är valfritt. Om AccelerateToFederatedDomain är falskt har principen ingen effekt på automatisk acceleration. Om AccelerateToFederatedDomain är sant och det bara finns en verifierad och federerad domän i klientorganisationen tas användarna direkt till federerad IdP för inloggning. Om det är sant och det finns fler än en verifierad domän i klientorganisationen måste PreferredDomain anges.

PreferredDomain är valfritt. PreferredDomain bör ange en domän som ska påskyndas. Det kan utelämnas om klientorganisationen bara har en federerad domän. Om den utelämnas och det finns fler än en verifierad federerad domän har principen ingen effekt.

Om PreferredDomain anges måste den matcha en verifierad, federerad domän för klientorganisationen. Alla användare av programmet måste kunna logga in på domänen – användare som inte kan logga in på den federerade domänen kommer att vara fångade och kan inte slutföra inloggningen.

AllowCloudPasswordValidation är valfritt. Om AllowCloudPasswordValidation är sant tillåts programmet att autentisera en federerad användare genom att presentera autentiseringsuppgifter för användarnamn/lösenord direkt till Azure AD-tokenslutpunkten. Detta fungerar bara om synkronisering av lösenordshash är aktiverat.

Dessutom finns det två HRD-alternativ på klientnivå, som inte visas ovan:

Prioritet och utvärdering av HRD-principer

HRD-principer kan skapas och sedan tilldelas till specifika organisationer och tjänstens huvudnamn. Det innebär att det är möjligt för flera principer att gälla för ett visst program, så Azure AD måste bestämma vilken som har företräde. En uppsättning regler avgör vilken HRD-princip (av många tillämpade) som börjar gälla:

  • Om det finns ett domäntips i autentiseringsbegäran kontrolleras HRD-principen för klientorganisationen (principen anges som standard för klientorganisationen) för att se om domäntips ska ignoreras. Om domäntips tillåts används det beteende som anges av domäntipset.

  • Om en princip annars uttryckligen tilldelas tjänstens huvudnamn tillämpas den.

  • Om det inte finns någon domäntips och ingen princip uttryckligen tilldelas tjänstens huvudnamn tillämpas en princip som uttryckligen tilldelas till den överordnade organisationen av tjänstens huvudnamn.

  • Om det inte finns något domäntips och ingen princip har tilldelats tjänstens huvudnamn eller organisationen används standardbeteendet för HRD.

Nästa steg