Prise en charge du paramètre prompt=login des services de fédération Active Directory (AD FS)
Le document suivant décrit la prise en charge native du paramètre prompt=login disponible dans AD FS.
Qu’est-ce que prompt=login ?
Lorsque les applications doivent demander une nouvelle authentification auprès Microsoft Entra ID, ce qui signifie qu'elles ont besoin Microsoft Entra ID pour authentifier de nouveau l'utilisateur même si l'utilisateur a déjà été authentifié, elles peuvent envoyer le paramètre prompt=login à Microsoft Entra ID dans le cadre de la demande d'authentification.
Lorsque cette demande concerne un utilisateur fédéré, Microsoft Entra ID doit informer le fournisseur d'identité, comme AD FS, que la demande concerne une nouvelle authentification.
Par défaut, Microsoft Entra ID traduit prompt=login en wfresh=0 et wauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password lors de l'envoi de ce type de demandes d'authentification au fournisseur d'identité fédéré.
Ces paramètres signifient :
wfresh=0: effectuer une nouvelle authentificationwauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password: utiliser le nom d’utilisateur/mot de passe pour la nouvelle demande d’authentification
Cela peut entraîner des problèmes avec l’intranet d’entreprise et les scénarios d’authentification multifacteur dans lesquels un type d’authentification autre que le nom d’utilisateur et le mot de passe, comme demandé par le paramètre wauth, est souhaité.
AD FS dans Windows Server 2012 R2 avec le correctif cumulatif de juillet 2016 a introduit la prise en charge native du paramètre prompt=login. Cela signifie que Microsoft Entra ID peut désormais envoyer ce paramètre en l'état au service AD FS dans le cadre des demandes d'authentification Microsoft Entra ID et Office 365.
Versions d’AD FS qui prennent en charge prompt=login
Voici une liste des versions d’AD FS qui prennent en charge le paramètre prompt=login.
- AD FS dans Windows Server 2012 R2 avec le correctif cumulatif de juillet 2016
- AD FS dans Windows Server 2016 ou version ultérieure
Comment configurer un domaine fédéré pour envoyer prompt=login à AD FS
Utilisez le module Microsoft Graph PowerShell pour configurer le paramètre.
Commencez par obtenir les valeurs actuelles de
FederatedIdpMfaBehavior,PreferredAuthenticationProtocoletPromptLoginBehaviorpour le domaine fédéré en exécutant la commande PowerShell suivante :Get-MgDomainFederationConfiguration -DomainId <your_domain_name> | Format-List *Notes
La sortie de
Get-MgDomainFederationConfigurationpar défaut n’affiche pas certaines propriétés dans la console. Pour afficher toutes les propriétés, vous devez diriger (|) sa sortie versFormat-List *pour forcer la sortie de toutes les propriétés de l’objet.Si la valeur de la propriété
PromptLoginBehaviorest vide ($null), le comportement deTranslateToFreshPasswordAuthest utilisé.Configurez la valeur souhaitée de
PromptLoginBehavioren exécutant la commande suivante :New-MgDomainFederationConfiguration -DomainId <your_domain_name> ` -FederatedIdpMfaBehavior <current_value_from_step1> ` -PreferredAuthenticationProtocol <current_value_from_step1> ` -PromptLoginBehavior <TranslateToFreshPasswordAuth|NativeSupport|Disabled>
Voici les valeurs possibles du paramètre PromptLoginBehavior et leur signification :
- TranslateToFreshPasswordAuth : désigne le comportement Microsoft Entra par défaut de la traduction de
prompt=loginverswauth=https://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/passwordetwfresh=0. - NativeSupport : signifie que le paramètre
prompt=loginsera envoyé tel quel à AD FS. Il s’agit du comportement recommandé si AD FS réside dans Windows Server 2012 R2 avec le correctif cumulatif de juillet 2016 ou version ultérieure. - Désactivé : signifie que seul
wfresh=0est envoyé à AD FS.