Birincil Yenileme Belirteci nedir?
Birincil Yenileme Belirteci (PRT), Windows 10 veya daha yeni, Windows Server 2016 ve sonraki sürümler, iOS ve Android cihazlarda Azure AD kimlik doğrulamasının önemli bir yapıtıdır. Bu, söz konusu makinelerde kullanılan uygulamalar genelinde çoklu oturum açmayı (SSO) etkinleştirmek için Microsoft birinci taraf belirteç aracılarına özel olarak verilen bir JSON Web Belirtecidir (JWT). Bu makalede, Windows 10 veya daha yeni cihazlarda PRT'nin nasıl verildiğine, kullanıldığına ve korunduğuna ilişkin ayrıntılar sağlayacağız.
Bu makalede, Azure AD'de kullanılabilen farklı cihaz durumlarını ve çoklu oturum açmanın Windows 10 veya daha yeni sürümlerde nasıl çalıştığını zaten anladığınız varsayılır. Azure AD'deki cihazlar hakkında daha fazla bilgi için Azure Active Directory'de cihaz yönetimi nedir? makalesine bakın.
Önemli terminoloji ve bileşenler
Aşağıdaki Windows bileşenleri PRT isteme ve kullanma konusunda önemli bir rol oynar:
- Bulut Kimlik Doğrulama Sağlayıcısı (CloudAP): CloudAP, Windows 10 veya daha yeni bir cihazda oturum açan kullanıcıları doğrulayan, Windows oturum açma için modern kimlik doğrulama sağlayıcısıdır. CloudAP, kimlik sağlayıcılarının bu kimlik sağlayıcısının kimlik bilgilerini kullanarak Windows'ta kimlik doğrulamasını etkinleştirmek için üzerinde oluşturabileceği bir eklenti çerçevesi sağlar.
- Web Hesabı Yöneticisi (WAM): WAM, Windows 10 veya daha yeni cihazlarda varsayılan belirteç aracısıdır. WAM ayrıca kimlik sağlayıcılarının bu kimlik sağlayıcısını kullanan uygulamaları için SSO oluşturabileceği ve etkinleştirebileceği bir eklenti çerçevesi de sağlar. (Windows Server 2016 LTSC derlemelerine dahil değildir)
- Azure AD CloudAP eklentisi: CloudAP çerçevesi üzerinde oluşturulan ve Windows oturum açma sırasında Azure AD ile kullanıcı kimlik bilgilerini doğrulayan, Azure AD'ye özgü bir eklenti.
- Azure AD WAM eklentisi: Kimlik doğrulaması için Azure AD'yi kullanan uygulamalar için SSO'ya olanak tanıyan WAM çerçevesi üzerinde oluşturulmuş bir Azure AD'ye özgü eklenti.
- Dsreg: Tüm cihaz durumları için cihaz kayıt işlemini işleyen, Windows 10 veya daha yeni sürümlerde Azure AD'ye özgü bir bileşendir.
- Güvenilir Platform Modülü (TPM): TPM, bir cihazda yerleşik olarak bulunan ve kullanıcı ve cihaz gizli dizileri için donanım tabanlı güvenlik işlevleri sağlayan bir donanım bileşenidir. Daha fazla bilgi için Bkz. Güvenilir Platform Modülü Teknolojisine Genel Bakış.
PRT ne içerir?
PRT, genellikle herhangi bir Azure AD yenileme belirtecinde bulunan talepleri içerir. Ayrıca PRT'ye dahil edilen cihaza özgü bazı talepler de vardır. Bunlar şu şekildedir:
- Cihaz Kimliği: Belirli bir cihazdaki kullanıcıya prt verilir. Cihaz kimliği talebi
deviceID, PRT'nin kullanıcıya verildiği cihazı belirler. Bu talep daha sonra PRT aracılığıyla alınan belirteçlere verilir. Cihaz kimliği talebi, cihaz durumuna veya uyumluluğuna göre Koşullu Erişim yetkilendirmesini belirlemek için kullanılır. - Oturum anahtarı: Oturum anahtarı, PrT'nin bir parçası olarak verilen Azure AD kimlik doğrulama hizmeti tarafından oluşturulan şifrelenmiş bir simetrik anahtardır. Oturum anahtarı, diğer uygulamalar için belirteçleri almak için bir PRT kullanıldığında sahiplik kanıtı işlevi görür.
PRT'de ne olduğunu görebilir miyim?
PRT, azure AD'den gönderilen ve içeriği hiçbir istemci bileşeni tarafından bilinmeyen opak bir blobdur. PrT'nin içinde ne olduğunu göremezsiniz.
PRT nasıl verilir?
Cihaz kaydı, Azure AD'de cihaz tabanlı kimlik doğrulaması için önkoşuldur. PrT yalnızca kayıtlı cihazlardaki kullanıcılara verilir. Cihaz kaydı hakkında daha ayrıntılı bilgi için İş İçin Windows Hello ve Cihaz Kaydı makalesine bakın. Cihaz kaydı sırasında dsreg bileşeni iki şifreleme anahtar çifti kümesi oluşturur:
- Cihaz anahtarı (dkpub/dkpriv)
- Aktarım anahtarı (tkpub/tkpriv)
Cihaz geçerli ve çalışır durumda bir TPM'ye sahipse özel anahtarlar cihazın TPM'sine bağlanırken, ortak anahtarlar cihaz kayıt işlemi sırasında Azure AD'ye gönderilir. Bu anahtarlar PRT istekleri sırasında cihaz durumunu doğrulamak için kullanılır.
PRT, iki senaryoda Windows 10 veya daha yeni bir cihazda kullanıcı kimlik doğrulaması sırasında verilir:
- Azure AD'ye katılmış veya Hibrit Azure AD'ye katılmış: Kullanıcı kuruluş kimlik bilgileriyle oturum açtığında Windows oturum açma sırasında prt verilir. Parola ve İş İçin Windows Hello gibi tüm Windows 10 veya daha yeni desteklenen kimlik bilgileriyle bir PRT verilir. Bu senaryoda Azure AD CloudAP eklentisi PRT için birincil yetkilidir.
- Azure AD kayıtlı cihaz: Kullanıcı Windows 10 veya daha yeni bir cihazına ikincil iş hesabı eklediğinde prt verilir. Kullanıcılar Windows 10 veya daha yeni bir sürüme iki farklı yolla hesap ekleyebilir-
- Bir uygulamada oturum açtıktan sonra kuruluşumun cihazımı yönetmesine izin ver istemi aracılığıyla hesap ekleme (örneğin, Outlook)
- Ayarlar> Hesaplarıİş veya Okul>Bağlantısına Erişimhesabı> ekleme
Azure AD kayıtlı cihaz senaryolarında Azure AD WAM eklentisi PRT için birincil yetkilidir çünkü bu Azure AD hesabıyla Windows oturum açma işlemi gerçekleşmez.
Not
Windows 10 veya daha yeni cihazlarda PRT verilmesini etkinleştirmek için üçüncü taraf kimlik sağlayıcılarının WS-Trust protokollerini desteklemesi gerekir. WS-Trust olmadan, Karma Azure AD'ye katılmış veya Azure AD'ye katılmış cihazlardaki kullanıcılara PRT verilemez. ADFS'de yalnızca kullanıcı adı karışık uç noktaları gereklidir. Hem adfs/services/trust/2005/windowstransport hem de adfs/services/trust/13/windowstransport yalnızca intranet'e yönelik uç noktalar olarak etkinleştirilmelidir ve Web Uygulaması Ara Sunucusu aracılığıyla extranet'e yönelik uç noktalar olarak sunulmamalıdır .
Not
PrT'ler verildiğinde Azure AD Koşullu Erişim ilkeleri değerlendirilmez.
Not
Azure AD PRT'lerinin verilmesi ve yenilenmesi için üçüncü taraf kimlik bilgisi sağlayıcılarını desteklemiyoruz.
PRT'nin ömrü nedir?
PrT verildikten sonra 14 gün boyunca geçerlidir ve kullanıcı cihazı etkin bir şekilde kullandığı sürece sürekli yenilenir.
PRT nasıl kullanılır?
PrT, Windows'daki iki önemli bileşen tarafından kullanılır:
- Azure AD CloudAP eklentisi: Windows oturum açma sırasında Azure AD CloudAP eklentisi, kullanıcı tarafından sağlanan kimlik bilgilerini kullanarak Azure AD'den bir PRT ister. Ayrıca kullanıcının İnternet bağlantısına erişimi olmadığında önbelleğe alınmış oturum açmayı etkinleştirmek için PRT'yi önbelleğe alır.
- Azure AD WAM eklentisi: Kullanıcılar uygulamalara erişmeye çalıştığında, Azure AD WAM eklentisi PrT kullanarak Windows 10 veya daha yeni sürümlerde SSO'yu etkinleştirir. Azure AD WAM eklentisi, belirteç istekleri için WAM kullanan uygulamaların yenileme ve erişim belirteçlerini istemek için PRT'yi kullanır. Ayrıca PRT'yi tarayıcı isteklerine ekleyerek tarayıcılarda SSO'ya olanak tanır. Windows 10 veya daha yeni sürümlerde tarayıcı SSO'sunun Microsoft Edge (yerel olarak), Chrome 'da ( Windows 10 Hesapları veya Office Online uzantıları aracılığıyla) veya Mozilla Firefox v91+ (Firefox Windows SSO ayarı)
Not
Bir kullanıcının tarayıcı uygulamasında oturum açmış aynı Azure AD kiracısından iki hesabı olduğu durumlarda, birincil hesabın PRT'sinin sağladığı cihaz kimlik doğrulaması ikinci hesaba da otomatik olarak uygulanır. Sonuç olarak, ikinci hesap kiracıdaki tüm cihaz tabanlı Koşullu Erişim ilkesini de karşılar.
PRT nasıl yenilenir?
PRT iki farklı yöntemle yenilenir:
- Azure AD CloudAP eklentisi 4 saatte bir: CloudAP eklentisi, Windows oturum açma sırasında PRT'yi 4 saatte bir yeniler. Kullanıcının bu süre boyunca İnternet bağlantısı yoksa CloudAP eklentisi, cihaz İnternet'e bağlandıktan sonra PRT'yi yeniler.
- Uygulama belirteci istekleri sırasında Azure AD WAM eklentisi: WAM eklentisi, uygulamalar için sessiz belirteç isteklerini etkinleştirerek Windows 10 veya daha yeni cihazlarda SSO'yu etkinleştirir. WAM eklentisi, bu belirteç istekleri sırasında PRT'yi iki farklı yolla yenileyebilir:
- Bir uygulama sessizce erişim belirteci için WAM'ye istekte bulunur, ancak bu uygulama için kullanılabilir yenileme belirteci yoktur. Bu durumda WAM, uygulama için belirteç istemek için PRT'yi kullanır ve yanıtta yeni bir PRT alır.
- Uygulama erişim belirteci için WAM ister, ancak PRT geçersiz veya Azure AD ek yetkilendirme gerektirir (örneğin, Azure AD Multi-Factor Authentication). Bu senaryoda WAM, kullanıcının yeniden kimlik doğrulamasını veya ek doğrulama sağlamasını gerektiren etkileşimli bir oturum açma işlemi başlatır ve başarılı bir kimlik doğrulamasında yeni bir PRT verilir.
BIR ADFS ortamında PRT'yi yenilemek için etki alanı denetleyicisine doğrudan görüş hattı gerekmez. PRT yenilemesi için yalnızca /adfs/services/trust/2005/usernamemixed ve /adfs/services/trust/13/usernamemixed uç noktalarının WS-Trust protokolü kullanılarak ara sunucuda etkinleştirilmesi gerekir.
Windows aktarım uç noktaları, prt yenilemesi için değil, yalnızca parola değiştirildiğinde parola kimlik doğrulaması için gereklidir.
Not
PrT'ler yenilendiğinde Azure AD Koşullu Erişim ilkeleri değerlendirilmez.
Dikkat edilmesi gereken temel konular
- PrT yalnızca yerel uygulama kimlik doğrulaması sırasında verilir ve yenilenir. PrT, tarayıcı oturumu sırasında yenilenmez veya verilmez.
- Azure AD'ye katılmış ve hibrit Azure AD'ye katılmış cihazlarda CloudAP eklentisi, PRT için birincil yetkilidir. WAM tabanlı belirteç isteği sırasında prt yenilenirse PRT CloudAP eklentisine geri gönderilir ve bu eklenti PRT'yi kabul etmeden önce Azure AD ile geçerliliğini doğrular.
PRT nasıl korunur?
PRT, kullanıcının oturum açtığı cihaza bağlanarak korunur. Azure AD ve Windows 10 veya daha yenisi aşağıdaki yöntemlerle PRT korumasını etkinleştirir:
- İlk oturum açma sırasında: İlk oturum açma sırasında, cihaz kaydı sırasında kriptografik olarak oluşturulan cihaz anahtarı kullanılarak istekler imzalanarak bir PRT verilir. Geçerli ve çalışır durumdaki TPM'ye sahip bir cihazda, cihaz anahtarı TPM tarafından güvenli hale getirilerek kötü amaçlı erişim engellenir. İlgili cihaz anahtarı imzası doğrulanamıyorsa prt verilmez.
- Belirteç istekleri ve yenileme sırasında: PrT yayımlandığında Azure AD cihaza şifreli bir oturum anahtarı da gönderir. Cihaz kaydı kapsamında oluşturulan ve Azure AD'ye gönderilen genel taşıma anahtarı (tkpub) ile şifrelenir. Bu oturum anahtarının şifresi yalnızca TPM tarafından güvenliği sağlanan özel aktarım anahtarı (tkpriv) tarafından çözülebilir. Oturum anahtarı, Azure AD'ye gönderilen tüm istekler için Sahiplik Kanıtı (POP) anahtarıdır. Oturum anahtarı da TPM tarafından korunur ve başka hiçbir işletim sistemi bileşeni bu anahtara erişemez. Belirteç istekleri veya PRT yenileme istekleri, TPM aracılığıyla bu oturum anahtarı tarafından güvenli bir şekilde imzalanır ve bu nedenle üzerinde oynanamaz. Azure AD, cihazdan gelen ve ilgili oturum anahtarı tarafından imzalanmayan tüm istekleri geçersiz kılacak.
Bu anahtarları TPM ile güvenli hale getirerek, anahtarları çalmaya veya PRT'yi yeniden yürütmeye çalışan kötü amaçlı aktörlerin PRT güvenliğini artırırız. Bu nedenle, TPM kullanmak Azure AD'ye Katılmış, Hibrit Azure AD'ye katılmış ve Azure AD kayıtlı cihazların güvenliğini kimlik bilgisi hırsızlığına karşı büyük ölçüde artırır. Performans ve güvenilirlik için TPM 2.0, Windows 10 veya daha yeni sürümlerde tüm Azure AD cihaz kayıt senaryoları için önerilen sürümdür. Azure AD, Windows 10, 1903 güncelleştirmesiyle başlayarak güvenilirlik sorunları nedeniyle yukarıdaki anahtarlardan herhangi biri için TPM 1.2 kullanmaz.
Uygulama belirteçleri ve tarayıcı tanımlama bilgileri nasıl korunur?
Uygulama belirteçleri: Bir uygulama WAM aracılığıyla belirteç istediğinde, Azure AD bir yenileme belirteci ve erişim belirteci sağlar. Ancak WAM, erişim belirtecini yalnızca uygulamaya döndürür ve kullanıcının veri koruma uygulama programlama arabirimi (DPAPI) anahtarıyla şifreleyerek önbelleğindeki yenileme belirtecinin güvenliğini sağlar. WAM, daha fazla erişim belirteci vermek için istekleri oturum anahtarıyla imzalayarak yenileme belirtecini güvenli bir şekilde kullanır. DPAPI anahtarı, Azure AD'nin kendisinde Azure AD tabanlı bir simetrik anahtarla güvenli hale getirilir. Cihazın DPAPI anahtarıyla kullanıcı profilinin şifresini çözmesi gerektiğinde, Azure AD oturum anahtarı tarafından şifrelenen DPAPI anahtarını sağlar ve CloudAP eklentisi TPM'nin şifresini çözmesini ister. Bu işlevsellik, yenileme belirteçlerinin güvenliğini sağlama konusunda tutarlılık sağlar ve uygulamaların kendi koruma mekanizmalarını uygulamasını önler.
Tarayıcı tanımlama bilgileri: Windows 10 veya daha yeni sürümlerde Azure AD, Internet Explorer ve Microsoft Edge'de tarayıcı SSO'yu yerel olarak, Google Chrome'da Windows 10 hesapları uzantısı aracılığıyla ve Mozilla Firefox v91+'da tarayıcı ayarı aracılığıyla destekler. Güvenlik yalnızca tanımlama bilgilerini korumak için değil, aynı zamanda tanımlama bilgilerinin gönderildiği uç noktaları da korumak için oluşturulur. Tarayıcı tanımlama bilgileri, oturum anahtarını kullanarak tanımlama bilgilerini imzalamak ve korumak için PRT ile aynı şekilde korunur.
Kullanıcı bir tarayıcı etkileşimi başlattığında, tarayıcı (veya uzantı) bir COM yerel istemci konağı çağırır. Yerel istemci ana bilgisayarı, sayfanın izin verilen etki alanlarından birinden olmasını sağlar. Tarayıcı, bir nonce dahil olmak üzere yerel istemci konağına başka parametreler gönderebilir, ancak yerel istemci ana bilgisayarı ana bilgisayar adının doğrulanması garanti eder. Yerel istemci ana bilgisayarı, CloudAP eklentisinden TPM korumalı oturum anahtarı oluşturup imzalayan bir PRT tanımlama bilgisi ister. PRT tanımlama bilgisi oturum anahtarı tarafından imzalandığından, üzerinde oynanmak çok zordur. Bu PRT tanımlama bilgisi, kaynaklandığı cihazı doğrulamak için Azure AD'ye yönelik istek üst bilgisinde yer alır. Chrome tarayıcısını kullanıyorsanız, yalnızca yerel istemci ana bilgisayarının bildiriminde açıkça tanımlanan uzantı bunu çağırarak rastgele uzantıların bu istekleri yapmasını engelleyebilir. Azure AD PRT tanımlama bilgisini doğruladıktan sonra tarayıcıya bir oturum tanımlama bilgisi gönderir. Bu oturum tanımlama bilgisi, prt ile verilen oturum anahtarının aynısını da içerir. Sonraki istekler sırasında oturum anahtarı, tanımlama bilgisini cihaza etkili bir şekilde bağlayarak ve başka bir yerden yeniden yürütmeyi önleyerek doğrulanır.
PrT ne zaman MFA talebi alır?
PRT, belirli senaryolarda çok faktörlü kimlik doğrulaması (MFA) talebi alabilir. Uygulamalar için belirteç istemek üzere MFA tabanlı prt kullanıldığında, MFA talebi bu uygulama belirteçlerine aktarılır. Bu işlevsellik, bunu gerektiren her uygulama için MFA sınamasını önleyerek kullanıcılara sorunsuz bir deneyim sağlar. PRT aşağıdaki yollarla bir MFA talebi alabilir:
- İş İçin Windows Hello ile oturum açın: İş İçin Windows Hello, güçlü iki öğeli kimlik doğrulaması sağlamak için parolaların yerini alır ve şifreleme anahtarlarını kullanır. İş İçin Windows Hello, cihazdaki bir kullanıcıya özgüdür ve MFA'nın sağlamasını gerektirir. Bir kullanıcı İş için Windows Hello ile oturum açtığında, kullanıcının PRT'si bir MFA talebi alır. Bu senaryo, akıllı kart kimlik doğrulaması ADFS'den bir MFA talebi oluşturursa akıllı kartlarla oturum açan kullanıcılar için de geçerlidir.
- İş İçin Windows Hello çok faktörlü kimlik doğrulaması olarak kabul edildiğinden, PRT'nin kendisi yenilendiğinde MFA talebi güncelleştirilir, bu nedenle kullanıcılar İş için Windows Hello ile oturum açtıklarında MFA süresi sürekli olarak uyacaktır.
- WAM etkileşimli oturum açma sırasında MFA: WAM aracılığıyla yapılan bir belirteç isteği sırasında, bir kullanıcının uygulamaya erişmek için MFA yapması gerekiyorsa, bu etkileşim sırasında yenilenen PRT bir MFA talebiyle yazdırılır.
- Bu durumda, MFA talebi sürekli olarak güncelleştirilmez, bu nedenle MFA süresi dizinde ayarlanan yaşam süresini temel alır.
- Uygulamaya erişim için önceki bir PRT ve RT kullanıldığında PRT ve RT, ilk kimlik doğrulama kanıtı olarak kabul edilir. İkinci bir kanıt ve yazdırılmış MFA talebiyle yeni bir AT gerekir. Bu, yeni bir PRT ve RT de yayınlar.
Windows 10 veya daha yeni sürümler, her kimlik bilgisi için bölümlenmiş prt listesi tutar. Bu nedenle, İş İçin Windows Hello, parola veya akıllı kart için bir PRT vardır. Bu bölümleme, MFA taleplerinin kullanılan kimlik bilgilerine göre yalıtılmasını ve belirteç istekleri sırasında karışmamasını sağlar.
PRT nasıl geçersiz kılındı?
PrT aşağıdaki senaryolarda geçersiz kılındı:
- Geçersiz kullanıcı: Azure AD'de bir kullanıcı silinir veya devre dışı bırakılırsa PRT geçersiz kılınmış olur ve uygulamalar için belirteçleri almak için kullanılamaz. Silinmiş veya devre dışı bırakılmış bir kullanıcı daha önce bir cihazda oturum açmışsa, CloudAP geçersiz durumunu fark edene kadar önbelleğe alınmış oturum açma işlemi oturum açar. CloudAP kullanıcının geçersiz olduğunu belirledikten sonra sonraki oturum açmaları engeller. Geçersiz bir kullanıcının kimlik bilgileri önbelleğe alınmamış yeni cihazlarda oturum açması otomatik olarak engellenir.
- Geçersiz cihaz: Azure AD'de bir cihaz silinir veya devre dışı bırakılırsa, bu cihazda alınan PRT geçersiz kılınmış olur ve diğer uygulamaların belirteçlerini almak için kullanılamaz. Bir kullanıcı zaten geçersiz bir cihazda oturum açmışsa, bunu yapmaya devam edebilir. Ancak cihazdaki tüm belirteçler geçersiz kılındı ve kullanıcının bu cihazdan herhangi bir kaynakta SSO'ya sahip olmaması.
- Parola değişikliği: Kullanıcı parolasını değiştirdikten sonra, önceki parolayla alınan PRT, Azure AD tarafından geçersiz kılındı. Parola değişikliği, kullanıcının yeni bir PRT almasına neden olur. Bu geçersizleştirme iki farklı şekilde gerçekleşebilir:
- Kullanıcı yeni parolasıyla Windows'ta oturum açarsa, CloudAP eski PRT'yi atar ve Azure AD'nin yeni parolasıyla yeni bir PRT yayınlamasını ister. Kullanıcının İnternet bağlantısı yoksa, yeni parola doğrulanamazsa, Windows kullanıcının eski parolasını girmesini gerektirebilir.
- Bir kullanıcı eski parolasıyla oturum açtıysa veya Windows'ta oturum açtıktan sonra parolasını değiştirdiyse, eski PRT tüm WAM tabanlı belirteç istekleri için kullanılır. Bu senaryoda, wam belirteç isteği sırasında kullanıcıdan yeniden kimlik doğrulaması istenir ve yeni bir PRT verilir.
- TPM sorunları: Bazen bir cihazın TPM'sinin hatalı veya başarısız olması, TPM tarafından güvenliği sağlanan anahtarlara erişilememesine neden olabilir. Bu durumda cihaz, şifreleme anahtarlarının sahibi olduğunu kanıtlayamadığı için prt alamaz veya mevcut bir PRT kullanarak belirteç talep edemez. Sonuç olarak, mevcut PRT'ler Azure AD tarafından geçersiz kılındı. Windows 10 bir hata algıladığında, cihazı yeni şifreleme anahtarlarıyla yeniden kaydetmek için bir kurtarma akışı başlatır. Hibrit Azure Ad katılımı ile ilk kayıtta olduğu gibi kurtarma işlemi de kullanıcı girişi olmadan sessizce gerçekleştirilir. Azure AD'ye katılmış veya Azure AD'ye kayıtlı cihazlarda, kurtarmanın cihazda yönetici ayrıcalıklarına sahip bir kullanıcı tarafından gerçekleştirilmesi gerekir. Bu senaryoda kurtarma akışı, kullanıcıya cihazı başarıyla kurtarması için yol gösteren bir Windows istemi tarafından başlatılır.
Ayrıntılı akışlar
Aşağıdaki diyagramlarda, uygulama için erişim belirteci istemek üzere PRT verme, yenileme ve kullanma ile ilgili temel ayrıntılar gösterilmektedir. Ayrıca bu adımlar, yukarıda belirtilen güvenlik mekanizmalarının bu etkileşimler sırasında nasıl uygulandığını da açıklar.
İlk oturum açma sırasında PRT verme
Not
Azure AD'ye katılmış cihazlarda, kullanıcı Windows'ta oturum açabilmesi için Azure AD PRT verme (A-F adımları) zaman uyumlu olarak gerçekleşir. Hibrit Azure AD'ye katılmış cihazlarda şirket içi Active Directory birincil yetkilidir. Bu nedenle kullanıcı, oturum açmak için bir TGT edindikten sonra karma Azure AD'ye katılmış Windows oturumunu açabilir ve PRT verme işlemi zaman uyumsuz olarak gerçekleşir. Oturum açma işlemi Azure AD kimlik bilgilerini kullanmadığından bu senaryo Azure AD kayıtlı cihazlar için geçerli değildir.
| Adım | Description |
|---|---|
| A | Kullanıcı, oturum açma kullanıcı arabirimine parolasını girer. LogonUI kimlik bilgilerini bir kimlik doğrulama arabelleğinde LSA'ya geçirir ve bu da kimlik bilgilerini dahili olarak CloudAP'ye geçirir. CloudAP bu isteği CloudAP eklentisine iletir. |
| B | CloudAP eklentisi, kullanıcının kimlik sağlayıcısını tanımlamak için bir bölge bulma isteği başlatır. Kullanıcının kiracısının federasyon sağlayıcısı kurulumu varsa, Azure AD federasyon sağlayıcısının Meta Veri Değişimi uç noktası (MEX) uç noktasını döndürür. Aksi takdirde Azure AD, kullanıcının Azure AD ile kimlik doğrulaması yapabileceklerini belirten yönetilen bir kullanıcı döndürür. |
| C | Kullanıcı yönetiliyorsa CloudAP, Azure AD'den nonce alır. Kullanıcı federasyona bağlıysa CloudAP eklentisi, federasyon sağlayıcısından kullanıcının kimlik bilgilerini içeren bir SAML belirteci istemektedir. SAML belirtecini aldıktan sonra Azure AD'den bir nonce ister. |
| D | CloudAP eklentisi kullanıcının kimlik bilgileri, nonce ve aracı kapsamıyla kimlik doğrulama isteğini oluşturur, isteği Cihaz anahtarı (dkpriv) ile imzalar ve Azure AD'ye gönderir. Federasyon ortamında CloudAP eklentisi, kullanıcının kimlik bilgileri yerine federasyon sağlayıcısı tarafından döndürülen SAML belirtecini kullanır. |
| E | Azure AD kullanıcı kimlik bilgilerini, kimlik bilgilerini ve cihaz imzasını doğrular, cihazın kiracıda geçerli olduğunu doğrular ve şifrelenmiş PRT'yi verir. PrT ile birlikte Azure AD, Aktarım anahtarı (tkpub) kullanılarak Azure AD tarafından şifrelenen Oturum anahtarı olarak adlandırılan bir simetrik anahtar da yayımlar. Ayrıca Oturum anahtarı PRT'ye de eklenir. Bu Oturum anahtarı, PRT ile sonraki istekler için Sahiplik Kanıtı (PoP) anahtarı işlevi görür. |
| F | CloudAP eklentisi şifrelenmiş PRT ve Oturum anahtarını CloudAP'ye geçirir. CloudAP, Tpm'nin Aktarım anahtarını (tkpriv) kullanarak Oturum anahtarının şifresini çözmesini ve TPM'nin kendi anahtarını kullanarak yeniden şifrelemesini ister. CloudAP şifrelenmiş Oturum anahtarını PRT ile birlikte önbelleğinde depolar. |
Sonraki oturum açmalarda PRT yenilemesi
| Adım | Description |
|---|---|
| A | Kullanıcı, oturum açma kullanıcı arabirimine parolasını girer. LogonUI kimlik bilgilerini bir kimlik doğrulama arabelleğinde LSA'ya geçirir ve bu da kimlik bilgilerini dahili olarak CloudAP'ye geçirir. CloudAP bu isteği CloudAP eklentisine iletir. |
| B | Kullanıcı daha önce kullanıcıda oturum açtıysa, Windows önbelleğe alınmış oturum açmayı başlatır ve kullanıcının oturum açması için kimlik bilgilerini doğrular. CloudAP eklentisi 4 saatte bir PRT yenilemesini zaman uyumsuz olarak başlatır. |
| C | CloudAP eklentisi, kullanıcının kimlik sağlayıcısını tanımlamak için bir bölge bulma isteği başlatır. Kullanıcının kiracısının federasyon sağlayıcısı kurulumu varsa, Azure AD federasyon sağlayıcısının Meta Veri Değişimi uç noktası (MEX) uç noktasını döndürür. Aksi takdirde Azure AD, kullanıcının Azure AD ile kimlik doğrulaması yapabileceklerini belirten yönetilen bir kullanıcı döndürür. |
| D | Kullanıcı federasyona bağlıysa CloudAP eklentisi, federasyon sağlayıcısından kullanıcının kimlik bilgilerini içeren bir SAML belirteci istemektedir. SAML belirtecini aldıktan sonra Azure AD'den bir nonce ister. Kullanıcı yönetiliyorsa CloudAP, nonce'ı doğrudan Azure AD'den alır. |
| E | CloudAP eklentisi kullanıcının kimlik bilgileri, nonce ve mevcut PRT ile kimlik doğrulama isteğini oluşturur, isteği Oturum anahtarıyla imzalar ve Azure AD'ye gönderir. Federasyon ortamında CloudAP eklentisi, kullanıcının kimlik bilgileri yerine federasyon sağlayıcısı tarafından döndürülen SAML belirtecini kullanır. |
| F | Azure AD, Oturum anahtarı imzasını PRT'ye eklenmiş Oturum anahtarıyla karşılaştırarak doğrular, nonce'ı doğrular ve cihazın kiracıda geçerli olduğunu doğrular ve yeni bir PRT verir. Daha önce görüldüğü gibi PRT'ye yine Aktarım anahtarı (tkpub) tarafından şifrelenen Oturum anahtarı eşlik etti. |
| G | CloudAP eklentisi şifrelenmiş PRT ve Oturum anahtarını CloudAP'ye geçirir. CloudAP, TPM'nin Aktarım anahtarını (tkpriv) kullanarak Oturum anahtarının şifresini çözmesini ve TPM'nin kendi anahtarını kullanarak yeniden şifrelemesini ister. CloudAP şifrelenmiş Oturum anahtarını PRT ile birlikte önbelleğinde depolar. |
Not
Kullanıcı adı karma uç noktaları dışarıdan etkinleştirildiğinde VPN bağlantısına gerek kalmadan PRT harici olarak yenilenebilir.
Uygulama belirteci istekleri sırasında PRT kullanımı
| Adım | Description |
|---|---|
| A | Bir uygulama (örneğin, Outlook, OneNote vb.) WAM'ye belirteç isteği başlatır. WAM ise Azure AD WAM eklentisinden belirteç isteğine hizmet vermesini ister. |
| B | Uygulama için bir Yenileme belirteci zaten varsa, Azure AD WAM eklentisi erişim belirteci istemek için bunu kullanır. Cihaz bağlama kanıtı sağlamak için WAM eklentisi isteği Oturum anahtarıyla imzalar. Azure AD Oturum anahtarını doğrular ve oturum anahtarıyla şifrelenmiş bir erişim belirteci ve uygulama için yeni bir yenileme belirteci gönderir. WAM eklentisi, CloudAP eklentisinden belirteçlerin şifresini çözmesini istiyor ve bu da TPM'nin Oturum anahtarını kullanarak şifresini çözmesini istiyor ve bu da WAM eklentisinin her iki belirteci de almasına neden oluyor. Ardından WAM eklentisi uygulamaya yalnızca erişim belirteci sağlarken yenileme belirtecini DPAPI ile yeniden şifreler ve kendi önbelleğinde depolar |
| C | Uygulama için yenileme belirteci kullanılamıyorsa, Azure AD WAM eklentisi erişim belirteci istemek için PRT'yi kullanır. Sahip olma kanıtı sağlamak için WAM eklentisi PRT'yi içeren isteği Oturum anahtarıyla imzalar. Azure AD, Oturum anahtarı imzasını PRT'ye eklenmiş Oturum anahtarıyla karşılaştırarak doğrular, cihazın geçerli olduğunu doğrular ve uygulama için bir erişim belirteci ve yenileme belirteci verir. Ayrıca Azure AD, tümü Oturum anahtarıyla şifrelenmiş yeni bir PRT (yenileme döngüsüne göre) verebilir. |
| D | WAM eklentisi, CloudAP eklentisinden belirteçlerin şifresini çözmesini istiyor ve bu da TPM'nin Oturum anahtarını kullanarak şifresini çözmesini istiyor ve bu da WAM eklentisinin her iki belirteci de almasına neden oluyor. Ardından WAM eklentisi uygulamaya yalnızca erişim belirteci sağlarken yenileme belirtecini DPAPI ile yeniden şifreler ve kendi önbelleğinde depolar. WAM eklentisi, bu uygulama için ileriye dönük yenileme belirtecini kullanır. WAM eklentisi ayrıca kendi önbelleğinde güncelleştirmeden önce PrT'yi Azure AD ile doğrulayan CloudAP eklentisine yeni PRT'yi geri verir. CloudAP eklentisi bundan sonra yeni PRT'yi kullanacaktır. |
| E | WAM, WAM'ye yeni verilen erişim belirtecini sağlar ve bu belirteç de onu çağıran uygulamaya geri sağlar |
PRT kullanarak tarayıcı SSO
| Adım | Description |
|---|---|
| A | Kullanıcı, PRT almak için kimlik bilgileriyle Windows'ta oturum açar. Kullanıcı tarayıcıyı açtıktan sonra tarayıcı (veya uzantı) kayıt defterinden URL'leri yükler. |
| B | Kullanıcı bir Azure AD oturum açma URL'sini açtığında, tarayıcı veya uzantı URL'yi kayıt defterinden alınanlarla doğrular. Eşleşirse, tarayıcı belirteç almak için yerel istemci ana bilgisayarını çağırır. |
| C | Yerel istemci ana bilgisayarı, URL'lerin Microsoft kimlik sağlayıcılarına (Microsoft hesabı veya Azure AD) ait olduğunu doğrular, URL'den gönderilen bir nonce ayıklar ve PRT tanımlama bilgisi almak için CloudAP eklentisine çağrı yapar. |
| D | CloudAP eklentisi PRT tanımlama bilgisini oluşturur, TPM'ye bağlı oturum anahtarıyla oturum açar ve yerel istemci konağına geri gönderir. |
| E | Yerel istemci ana bilgisayarı bu PRT tanımlama bilgisini tarayıcıya döndürür ve bu tanımlama bilgisini x-ms-RefreshTokenCredential adlı istek üst bilgisinin bir parçası olarak içerir ve Azure AD'den istek belirteçleri içerir. |
| F | Azure AD PRT tanımlama bilgisindeki Oturum anahtarı imzasını doğrular, nonce'ı doğrular, cihazın kiracıda geçerli olduğunu doğrular ve web sayfası için bir kimlik belirteci ve tarayıcı için şifrelenmiş oturum tanımlama bilgisi verir. |
Not
Yukarıdaki adımlarda açıklanan Tarayıcı SSO akışı, Microsoft Edge'de InPrivate, Google Chrome'da Gizli (Microsoft Hesapları veya Office Online uzantıları kullanılırken) veya Mozilla Firefox v91+ uygulamasında özel modda oturumlar için geçerli değildir
Sonraki adımlar
PRT ile ilgili sorunları giderme hakkında daha fazla bilgi için Karma Azure Active Directory'ye katılmış Windows 10 veya daha yeni ve Windows Server 2016 cihazlarında sorun giderme makalesine bakın.