本文档概述了 Microsoft Entra ID 从联合身份提供者(IdP)所需的断言,以遵循配置的federatedIdpMfaBehaviour值 acceptIfMfaDoneByFederatedIdp 和 enforceMfaByFederatedIdp,用于安全断言标记语言(SAML)和 WS-Fed 联合。
提示
将 Microsoft Entra ID 与联合 IdP 配置是可选的。 Microsoft Entra建议使用Microsoft Entra ID中提供的身份验证方法。
- Microsoft Entra ID包括支持将第三方 MFA 提供程序与外部认证方法集成。
- 与联合身份提供者(IdP)集成的应用程序可以直接与 Microsoft Entra ID 集成
使用 WS-Fed 或 SAML 1.1 联合 IdP
当管理员(可选)使用 WS-Fed 联合身份验证将Microsoft Entra ID租户配置为使用 federated IdP时,Microsoft Entra重定向到 IdP 进行身份验证,并期望采用包含 SAML 1.1 断言的请求安全令牌响应(RSTR)形式的响应。 如果配置以这种方式,Microsoft Entra 将认可由 IdP 验证的 MFA(如果存在以下两个声明之一):
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
它们可以作为 AuthenticationStatement 元素的一部分包含在断言中。 例如:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
或者,它们可以作为 AttributeStatement 元素的一部分包含在断言中。 例如:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
通过 WS-Fed 或 SAML 1.1 使用登录频率和会话控制条件访问策略
登录频率使用 UserAuthenticationInstant(SAML 断言 http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant),即使用密码进行首次因素身份验证的 AuthInstant,适用于 SAML1.1/WS-Fed。
使用 SAML 2.0 联合 IdP
当管理员可选地使用联合 IdP通过SAMLP/SAML 2.0联合身份验证配置其 Microsoft Entra ID 租户时,Microsoft Entra 将重定向到 IdP 进行身份验证,并且需要包含 SAML 2.0 断言的响应。 入站 MFA 断言必须存在于 AuthnContext 的 AuthnStatement 元素中。
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
因此,要由 Microsoft Entra 处理的入站 MFA 断言,必须存在于AuthnContext 的AuthnStatement元素中。 只有一种方法可以以这种方式呈现。
利用 SAML 2.0 配置登录频率和会话控制的条件访问策略
登录频率使用 AuthnStatement 中提供的 MFA 或第一因素身份验证的 AuthInstant。 在负载的 AttributeReference 部分中共享的任何断言都将被忽略,包括 http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant。