Microsoft Entra Id ' de kimlik doğrulama yöntemleri - OATH belirteçleri
OATH zamana bağlı tek seferlik parola (TOTP), tek seferlik parola (OTP) kodlarının nasıl oluşturulduğunu belirten açık bir standarttır. OATH TOTP, kodları oluşturmak için yazılım veya donanım kullanılarak uygulanabilir. Microsoft Entra Id, farklı bir kod oluşturma standardı olan OATH HOTP'yi desteklemez.
OATH yazılım belirteçleri
Yazılım OATH belirteçleri genellikle Microsoft Authenticator uygulaması ve diğer kimlik doğrulayıcı uygulamaları gibi uygulamalardır. Microsoft Entra ID, uygulamaya giriş olarak verilen ve OTP'yi oluşturmak için kullanılan gizli anahtarı veya çekirdeği oluşturur.
Authenticator uygulaması, anında iletme bildirimleri yapmak üzere ayarlandığında otomatik olarak kod oluşturur, böylece cihazlarında bağlantı olmasa bile kullanıcının yedeği olur. Kod oluşturmak için OATH TOTP kullanan üçüncü taraf uygulamalar da kullanılabilir.
Bazı OATH TOTP donanım belirteçleri programlanabilir, yani önceden programlanmış gizli anahtar veya tohum ile gelmezler. Bu programlanabilir donanım belirteçleri, yazılım belirteci kurulum akışından alınan gizli anahtar veya tohum kullanılarak ayarlanabilir. Müşteriler bu belirteçleri kendi tercih ettikleri satıcıdan satın alabilir ve satıcının kurulum sürecinde gizli anahtarı veya tohumu kullanabilir.
OATH donanım belirteçleri (Önizleme)
Microsoft Entra ID, kodları her 30 veya 60 saniyede bir yenileyen OATH-TOTP SHA-1 belirteçlerinin kullanımını destekler. Müşteriler bu belirteçleri tercih ettikleri satıcıdan satın alabilir. Donanım OATH belirteçleri, Microsoft Entra ID P1 veya P2 lisansına sahip kullanıcılar için kullanılabilir.
Önemli
Önizleme yalnızca Azure Genel ve Azure Kamu bulutlarında desteklenir.
OATH TOTP donanım belirteçleri genellikle belirteçte önceden programlanmış bir gizli anahtar veya çekirdek ile birlikte gelir. Bu anahtarların, aşağıdaki adımlarda açıklandığı gibi Microsoft Entra Id'ye girilmesi gerekir. Gizli anahtarlar, bazı belirteçlerle uyumlu olmayan 128 karakterle sınırlıdır. Gizli anahtar yalnızca a-z veya A-Z karakterlerini ve 2-7 arası basamakları içerebilir ve Base32'de kodlanmalıdır.
Yeniden görüntülenebilen programlanabilir OATH TOTP donanım belirteçleri, yazılım belirteci kurulum akışında Microsoft Entra Kimliği ile de ayarlanabilir.
OATH donanım belirteçleri genel önizleme kapsamında desteklenir. Önizlemeler hakkında daha fazla bilgi için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Belirteçler alındıktan sonra virgülle ayrılmış değerler (CSV) dosya biçiminde karşıya yüklenmelidir. Dosya, aşağıdaki örnekte gösterildiği gibi UPN, seri numarası, gizli anahtar, zaman aralığı, üretici ve modeli içermelidir:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,2234567abcdef2234567abcdef,60,Contoso,HardwareKey
Not
ÜST bilgi satırını CSV dosyanıza eklediğinizden emin olun.
Csv dosyası olarak düzgün biçimlendirildikten sonra, Genel Yönetici istrator Microsoft Entra yönetim merkezinde oturum açabilir, Koruma>Çok Faktörlü kimlik doğrulama>OATH belirteçleri'ne gidebilir ve sonuçta elde edilen CSV dosyasını karşıya yükleyebilir.
CSV dosyasının boyutuna bağlı olarak işlenmesi birkaç dakika sürebilir. Geçerli durumu almak için Yenile düğmesini seçin. Dosyada herhangi bir hata varsa, çözmeniz gereken hataları listeleyen bir CSV dosyası indirebilirsiniz. İndirilen CSV dosyasındaki alan adları karşıya yüklenen sürümden farklıdır.
Hatalar giderildikten sonra yönetici, belirteç için Etkinleştir'i seçip belirteçte görüntülenen OTP'yi girerek her anahtarı etkinleştirebilir. Her 5 dakikada bir en fazla 200 OATH belirteci etkinleştirebilirsiniz.
Kullanıcılar, istedikleri zaman kullanılmak üzere yapılandırılan Microsoft Authenticator uygulaması gibi beş adede kadar OATH donanım belirteci veya kimlik doğrulayıcı uygulamasının birleşimine sahip olabilir. Donanım OATH belirteçleri, kaynak kiracıdaki konuk kullanıcılara atanamaz.
Önemli
Her belirteci yalnızca tek bir kullanıcıya atadığınızdan emin olun. Gelecekte, bir güvenlik riskini önlemek için tek bir belirtecin birden çok kullanıcıya atanması desteği durdurulur.
Karşıya yükleme işlemi sırasında oluşan bir hatanın sorunlarını giderme
Bazen, CSV dosyasının karşıya yüklenmesinin işlenmesiyle ilgili çakışmalar veya sorunlar olabilir. Herhangi bir çakışma veya sorun oluşursa aşağıdakine benzer bir bildirim alırsınız:
Hata iletisini belirlemek için Ayrıntıları Görüntüle'yi seçtiğinizden emin olun. Donanım belirteci durumu dikey penceresi açılır ve karşıya yükleme durumunun özetini sağlar. Aşağıdaki örnekte olduğu gibi bir hata veya birden çok hata olduğunu gösterir:
Listelenen hatanın nedenini belirlemek için, görüntülemek istediğiniz durumun yanındaki onay kutusuna tıkladığınızdan emin olun ve bu da İndir seçeneğini etkinleştirir. Bu, tanımlanan hatayı içeren bir CSV dosyasını indirir.
İndirilen dosya Failures_filename.csv olarak adlandırılır; burada dosya adı karşıya yüklenen dosyanın adıdır. Tarayıcınız için varsayılan indirme dizininize kaydedilir.
Bu örnekte, şu anda kiracı dizininde mevcut olmayan bir kullanıcı olarak tanımlanan hata gösterilmektedir:
Listelenen hataları giderdikten sonra, başarıyla işleyene kadar CSV'yi yeniden karşıya yükleyin. Her denemenin durum bilgileri 30 gün boyunca kalır. CSV, durumun yanındaki onay kutusuna tıklayıp isterseniz Durumu sil'i seçerek el ile kaldırılabilir.
OATH belirteci kayıt türünü belirleme
Kullanıcılar mysecurityinfo'ya erişerek veya Hesabım'dan Güvenlik bilgileri'ne tıklayarak OATH belirteci kayıtlarını yönetebilir ve ekleyebilir. OATH belirteci kaydının donanım veya yazılım tabanlı olup olmadığını ayırt etmek için belirli simgeler kullanılır.
| Belirteç kayıt türü | Simge |
|---|---|
| OATH yazılım belirteci |  |
| OATH donanım belirteci |  |
Sonraki adımlar
Microsoft Graph REST API'sini kullanarak kimlik doğrulama yöntemlerini yapılandırma hakkında daha fazla bilgi edinin. Parolasız kimlik doğrulamasıyla uyumlu FIDO2 güvenlik anahtarı sağlayıcıları hakkında bilgi edinin.