Zjišťování domovské sféry pro aplikaci
Zjišťování domovské sféry (HRD) je proces, který umožňuje microsoftu Entra ID určit, u kterého zprostředkovatele identity (IDP) se uživatel musí při přihlášení ověřit. Když se uživatel přihlásí k tenantovi Microsoft Entra pro přístup k prostředku nebo ke společné přihlašovací stránce Microsoft Entra, zadá uživatelské jméno (UPN). Microsoft Entra ID používá k zjištění, kde se uživatel musí přihlásit.
Uživatel se přesune na jednoho z následujících zprostředkovatelů identity, které se mají ověřit:
Domovský tenant uživatele (může být stejný jako prostředek, ke kterému se uživatel pokouší získat přístup).
Účet Microsoft. Uživatel je hostem v tenantovi prostředků, který k ověřování používá uživatelský účet.
Místní zprostředkovatel identity, jako je Active Directory Federation Services (AD FS) (ADFS).
Jiný zprostředkovatel identity, který je federovaný s tenantem Microsoft Entra.
Automatická akcelerace
Některé organizace konfigurují domény ve svém tenantovi Microsoft Entra tak, aby se federovaly s jiným zprostředkovatelem identity, jako je ADFS pro ověřování uživatelů.
Když se uživatel přihlásí k aplikaci, zobrazí se mu nejprve přihlašovací stránka Microsoft Entra. Když zadá hlavní název uživatele (UPN), pokud jsou v federované doméně, přejde na přihlašovací stránku zprostředkovatele identity obsluhující danou doménu. Za určitých okolností můžou správci chtít uživatele nasměrovat na přihlašovací stránku, když se přihlašují ke konkrétním aplikacím.
V důsledku toho mohou uživatelé přeskočit počáteční stránku ID Microsoft Entra. Tento proces se označuje jako "automatické zrychlení přihlašování". Microsoft už nedoporučuje konfigurovat automatickou akceleraci, protože může zabránit použití silnějších metod ověřování, jako je FIDO a brání spolupráci. Informace o výhodách konfigurace automatické akcelerace najdete v tématu Povolení přihlašování pomocí hesla bez hesla. Informace o tom, jak zabránit automatické akceleraci přihlašování, najdete v tématu Zakázání přihlášení automatické akcelerace.
V případech, kdy je tenant federovaný k jinému zprostředkovatele identity pro přihlášení, automatické zrychlení usnadňuje přihlašování uživatelů. Pro jednotlivé aplikace můžete nakonfigurovat automatickou akceleraci. Informace o vynucení automatické akcelerace pomocí HRD najdete v tématu Konfigurace automatické akcelerace .
Poznámka:
Pokud nakonfigurujete aplikaci pro automatickou akceleraci, nemůžou uživatelé používat spravované přihlašovací údaje (například FIDO) a uživatelé typu host se nemůžou přihlásit. Pokud uživatele vezmete přímo do federovaného zprostředkovatele identity k ověřování, neexistuje způsob, jak se vrátit na přihlašovací stránku Microsoft Entra. Uživatelé typu host, kteří se můžou muset přesměrovat na jiné tenanty nebo externí zprostředkovatele identity, jako je účet Microsoft, se k této aplikaci nemůžou přihlásit, protože přeskočí krok HRD.
Existují tři způsoby řízení automatické akcelerace federovaného zprostředkovatele identity:
- Použijte nápovědu k doméně pro žádosti o ověření pro aplikaci.
- Nakonfigurujte zásadu HRD tak, aby vynutil automatické zrychlení.
- Nakonfigurujte zásadu HRD tak, aby ignorovala rady domény z konkrétních aplikací nebo pro určité domény.
Dialogové okno Potvrzení domény
Od dubna 2023 můžou organizace, které používají automatické zrychlení nebo inteligentní odkazy, začít zobrazovat novou obrazovku přidanou do přihlašovacího uživatelského rozhraní. Tato obrazovka s názvem Dialogové okno Potvrzení domény je součástí obecného závazku Microsoftu k posílení zabezpečení a vyžaduje, aby uživatel potvrdil doménu tenanta, ke které se přihlašuje.
Co potřebujete udělat
Když se zobrazí dialogové okno potvrzení domény, měli byste:
Zkontrolujte doménu: Podívejte se na název domény uvedený na obrazovce. Měla by se zobrazit doména domovského tenanta účtu,
contoso.com
například:- Pokud doménu rozpoznáte a odpovídá organizaci, ke které se pokoušíte přihlásit, vyberte Potvrdit a pokračujte.
- Pokud nerozpoznáte, že doména zruší proces přihlášení, a požádejte o pomoc správce IT (pokud je to možné).
Tento krok vám pomůže zajistit, abyste se přihlásili ke správné organizaci.
Součásti dialogového okna Potvrzení domény
Následující snímek obrazovky ukazuje příklad toho, jak by mohlo vypadat dialogové okno potvrzení domény:
Identifikátor v horní části dialogového okna kelly@contoso.com
představuje identifikátor použitý k přihlášení. Doména tenanta uvedená v hlavičce dialogového okna a podheader zobrazuje doménu domovského tenanta účtu.
I když se dialogové okno Potvrzení domény nemusí zobrazovat pro každou instanci automatické akcelerace nebo inteligentních odkazů, dialog Potvrzení domény znamená automatické zrychlení a inteligentní odkazy už nebudou moct bez problémů pokračovat, když se zobrazí. Pokud vaše organizace vymaže soubory cookie z důvodu zásad prohlížeče nebo jinak, může se zobrazit dialogové okno potvrzení domény častěji. Vzhledem k tomu, že Id Microsoft Entra spravuje kompletní tok automatické akcelerace přihlášení, nemělo by zavedení dialogového okna Potvrzení domény vést k přerušení aplikace.
Rady k doméně
Nápovědy k doméně jsou direktivy, které jsou součástí žádosti o ověření z aplikace. Dají se použít ke zrychlení přihlašování uživatele na federovanou přihlašovací stránku zprostředkovatele identity. Víceklientní aplikace je můžou také použít k urychlení uživatele přímo na značku přihlašovací stránky Microsoft Entra pro svého tenanta.
Například aplikace "largeapp.com" může svým zákazníkům umožnit přístup k aplikaci na vlastní adrese URL "contoso.largeapp.com". Aplikace může také v žádosti o ověření obsahovat nápovědu k doméně, která contoso.com.
Syntaxe nápovědy domény se liší v závislosti na použitém protokolu a je nakonfigurovaná v aplikaci následujícími způsoby:
Pro aplikace, které používají parametr WS-Federation:
whr
řetězec dotazu. Například whr=contoso.com.Pro aplikace, které používají jazyk SAML (Security Assertion Markup Language): Žádost o ověření SAML obsahující nápovědu k doméně nebo řetězec dotazu whr=contoso.com.
Pro aplikace, které používají OpenID Connect:
domain_hint
parametr řetězce dotazu. Například domain_hint=contoso.com.
Ve výchozím nastavení se Microsoft Entra ID pokusí přesměrovat přihlášení na nakonfigurovaný protokol IDP pro doménu, pokud jsou splněny obě následující podmínky:
- Do žádosti o ověření z aplikace je zahrnuta nápověda k doméně.
- Tenant je federovaný s danou doménou.
Pokud nápověda k doméně neodkazuje na ověřenou federovanou doménu, můžete ji ignorovat.
Poznámka:
Pokud je v žádosti o ověření zahrnutá nápověda k doméně a měla by být dodržena, její přítomnost přepíše automatické zrychlení nastavené pro aplikaci v zásadách HRD.
Zásady HRD pro automatické zrychlení
Některé aplikace neposkytují způsob konfigurace žádosti o ověření, kterou vygenerují. V těchto případech není možné použít nápovědy k doméně k řízení automatické akcelerace. Automatické zrychlení je možné nakonfigurovat prostřednictvím zásad zjišťování domovské sféry , aby se dosáhlo stejného chování.
Zásady HRD, aby se zabránilo automatické akceleraci
Některé aplikace Microsoftu a SaaS automaticky zahrnují domain_hints (například výsledkem je žádost o přihlášení s připojeným kódem&domain_hint=contoso.com
), která může narušit zavedení spravovaných přihlašovacích údajů, https://outlook.com/contoso.com
jako je FIDO. Pomocí zásad zjišťování domovské sféry můžete během zavádění spravovaných přihlašovacích údajů ignorovat rady domény z určitých aplikací nebo pro určité domény.
Povolení přímého ověřování ROPC federovaných uživatelů pro starší verze aplikací
Osvědčeným postupem je, aby aplikace používaly knihovny Microsoft Entra a interaktivní přihlašování k ověřování uživatelů. Knihovny se starají o toky federovaných uživatelů. Někdy starší aplikace, zejména aplikace, které používají přihlašovací údaje vlastníka prostředku (ROPC), uděluje, odešle uživatelské jméno a heslo přímo do Microsoft Entra ID a nejsou zapsány, aby porozuměly federaci. Nepracují s správným federovaným koncovým bodem a ověřují uživatele. Pokud se rozhodnete, můžete pomocí zásad zjišťování domovské sféry povolit konkrétní starší aplikace , které odesílaly přihlašovací údaje pro uživatelské jméno a heslo pomocí grantu ROPC k ověření přímo pomocí Microsoft Entra ID, musí být povolena synchronizace hodnot hash hesel.
Důležité
Přímé ověřování povolte jenom v případě, že máte zapnutou synchronizaci hodnot hash hesel a víte, že je v pořádku ověřit tuto aplikaci bez jakýchkoli zásad implementovaných vaším místním zprostředkovatelem identity. Pokud synchronizaci hodnot hash hesel vypnete nebo z nějakého důvodu vypnete synchronizaci adresářů se službou AD Connect, měli byste tuto zásadu odebrat, abyste zabránili možnosti přímého ověřování pomocí zastaralé hodnoty hash hesel.
Nastavení zásad HRD
Zásady HRD pro aplikaci pro federované automatické zrychlení přihlašování nebo přímé cloudové aplikace můžete nastavit třemi kroky:
Vytvořte zásadu HRD.
Vyhledejte instanční objekt, ke kterému chcete zásadu připojit.
Připojte zásadu k instančnímu objektu.
Zásady se projeví jenom pro konkrétní aplikaci, když jsou připojené k instančnímu objektu.
Na instančním objektu může být aktivní pouze jedna zásada HRD najednou.
K vytváření a správě zásad HRD můžete použít rutiny Microsoft Graph PowerShellu .
Objekt JSON je ukázkovou definicí zásad HRD:
{
"HomeRealmDiscoveryPolicy":
{
"AccelerateToFederatedDomain":true,
"PreferredDomain":"federated.example.edu",
"AllowCloudPasswordValidation":false
}
}
Typ zásady je HomeRealmDiscoveryPolicy.
Funkce AccelerateToFederatedDomain je volitelná. Pokud je accelerationToFederatedDomain false, zásady nemají žádný vliv na automatické zrychlení. Pokud je AkcelerToFederatedDomain pravdivá a v tenantovi je jenom jedna ověřená a federovaná doména, uživatelé se přesměrují přímo do federovaného zprostředkovatele identity pro přihlášení. Pokud je pravda a v tenantovi je více než jedna ověřená doména, musí být zadána doména PreferredDomain .
PreferredDomain je nepovinná. PreferredDomain by měla naznačovat doménu, na kterou se má zrychlit. Pokud má tenant jenom jednu federovanou doménu, může se vynechat. Pokud je vynechána a existuje více ověřených federovaných domén, zásady nemají žádný vliv.
Pokud je zadaná doména PreferredDomain , musí odpovídat ověřené federované doméně pro tenanta. Všichni uživatelé aplikace se musí k této doméně přihlásit – uživatelé, kteří se nemůžou přihlásit k federované doméně, jsou zachyceni a nemůžou se přihlásit.
AllowCloudPasswordValidation je volitelné. Pokud je allowCloudPasswordValidation true, aplikace může ověřit federovaného uživatele tak, že přímo do koncového bodu tokenu Microsoft Entra předá přihlašovací údaje uživatelského jména a hesla. Funguje to jenom v případě, že je povolená synchronizace hodnot hash hesel.
Kromě toho existují dvě možnosti hrdosti na úrovni tenanta, které nejsou uvedené v předchozí části tohoto článku:
AlternateIdLogin je volitelný. Pokud je povoleno, alternateLoginID umožňuje uživatelům přihlásit se pomocí svých e-mailových adres místo hlavního názvu uživatele (UPN ) na přihlašovací stránce Microsoft Entra. Alternativní ID se spoléhají na uživatele, který se automaticky nerychluje na federovaný protokol IDP.
DomainHintPolicy je volitelný komplexní objekt, který brání tomu, aby se rady domény automaticky urychlují uživatele na federované domény. Toto nastavení pro celého tenanta slouží k zajištění toho, aby aplikace, které odesílají rady domény, nezabránily uživatelům v přihlášení pomocí přihlašovacích údajů spravovaných cloudem.
Priorita a hodnocení zásad HRD
Zásady HRD se dají vytvořit a pak přiřadit konkrétním organizacím a instančním objektům. To znamená, že pro konkrétní aplikaci může platit více zásad, takže id Microsoft Entra musí rozhodnout, který z nich má přednost. Sada pravidel rozhoduje, které zásady HRD (z mnoha použitých) se projeví:
Pokud se v žádosti o ověření nachází nápověda k doméně, zkontroluje se zásada HRD pro tenanta (zásada nastavená jako výchozí tenant) a zkontroluje, jestli by se měly ignorovat rady domény. Pokud jsou povoleny rady domény, použije se chování určené nápovědou k doméně.
Pokud je k instančnímu objektu explicitně přiřazená zásada, vynucuje se.
Pokud není žádná nápověda k doméně a instančnímu objektu se explicitně nepřiřazuje žádná zásada, je vynucená zásada, která je explicitně přiřazená nadřazené organizaci instančního objektu.
Pokud neexistuje žádný tip k doméně a k instančnímu objektu nebo organizaci se nepřiřadí žádná zásada, použije se výchozí chování HRD.