使用来自联合 IdP 的 MFA 声明满足 Microsoft Entra ID 多重身份验证 (MFA) 控制措施
本文档概述了 Microsoft Entra ID 要求联合标识提供者 (IdP) 提供的断言,以支持安全断言标记语言 (SAML) 和 WS-Fed 联合的 acceptIfMfaDoneByFederatedIdp 和 enforceMfaByFederatedIdp 的已配置 federatedIdpMfaBehaviour 值。
提示
使用联合 IdP 配置 Microsoft Entra ID 是可选项。
使用 WS-Fed 或 SAML 1.1 联合 IdP
当管理员选择性地将 Microsoft Entra ID 租户配置为通过 WS-Fed 联合使用联合 IdP 时,Microsoft Entra 会重定向到 IdP 进行身份验证,并需要以包含 SAML 1.1 断言的请求安全令牌响应 (RSTR) 的形式做出响应。 如果配置为执行此操作,Microsoft Entra 会在以下两个声明之一存在时支持 IdP 执行的 MFA:
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
它们可以作为 AuthenticationStatement 元素的一部分包含在断言中。 例如:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
或者,它们可以作为 AttributeStatement 元素的一部分包含在断言中。 例如:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
通过 WS-Fed 或 SAML 1.1 使用登录频率和会话控制条件访问策略
登录频率使用 UserAuthenticationInstant(SAML 断言 http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant),这是为 SAML1.1/WS-Fed 使用密码进行第一因素身份验证的 AuthInstant。
使用 SAML 2.0 联合 IdP
当管理员选择性地将 Microsoft Entra ID 租户配置为通过 SAMLP/SAML 2.0 联合使用联合 IdP 时,Microsoft Entra 会重定向到 IdP 进行身份验证,并且需要做出包含 SAML 2.0 断言的响应。 入站 MFA 断言必须存在于 AuthnContext 的 AuthnStatement 元素中。
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
因此,对于要由 Microsoft Entra 处理的入站 MFA 断言,它们必须存在于 AuthnContext 的 AuthnStatement 元素中。 只有一种方法可以以这种方式呈现。
通过 SAML 2.0 使用登录频率和会话控制条件访问策略
登录频率使用 AuthnStatement 中提供的 MFA 或第一因素身份验证的 AuthInstant。 有效负载的 AttributeReference 部分共享的任何断言将被忽略,包括 http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant。