Microsoft Entra ID의 다단계 인증 제어를 페더레이션 IdP의 MFA 클레임을 사용하여 충족
이 문서에서는 IdP(페더레이션 ID 공급자) microsoft Entra ID가 구성된 federatedIdpMfaBehaviour acceptIfMfaDoneByFederatedIdp 및 enforceMfaByFederatedIdp for Security Assertions Markup Language(SAML) 및 WS-Fed 페더레이션에 필요한 어설션을 간략하게 설명합니다.
팁
Microsoft Entra ID를 페더레이션 IdP와 함께 구성하는 것은 선택적입니다. Microsoft는 Microsoft Entra ID에서 사용할 수
- Microsoft Entra ID에는 인증서/스마트카드와 같은 페더레이션 IdP를 통해서만 사용할 수 있었던 인증 방법에 대한 지원이 포함되어 있으며, Entra Certificate Based Authentication도 이에 포함됩니다.
- Microsoft Entra ID에는 외부 인증 방법 과 함께 타사 MFA 공급자를 통합할 수 있도록 지원이 포함되어 있습니다.
- 페더레이션 IdP와 중개된 응용 프로그램은 Microsoft Entra ID와(과)
직접 통합될 수 있습니다.
WS-Fed 또는 SAML 1.1 페더레이션 IdP 사용
관리자가 선택적으로 Microsoft Entra ID 테넌트를 페더레이션 IdP과 WS-Fed 페더레이션을 사용하여 구성하는 경우, Microsoft Entra는 인증을 위해 IdP로 리디렉션하며, SAML 1.1 어설션이 포함된 RSTR(요청 보안 토큰 응답) 형식으로 응답을 기대합니다. 이렇게 하도록 구성된 경우 Microsoft Entra는 다음 두 클레임 중 하나가 있는 경우 IdP에서 수행하는 MFA를 적용합니다.
http://schemas.microsoft.com/claims/multipleauthnhttp://schemas.microsoft.com/claims/wiaormultiauthn
AuthenticationStatement 요소의 일부로 어설션에 포함할 수 있습니다. 예를 들어:
<saml:AuthenticationStatement
AuthenticationMethod="http://schemas.microsoft.com/claims/multipleauthn" ..>
<saml:Subject> ... </saml:Subject>
</saml:AuthenticationStatement>
또는 AttributeStatement 요소의 일부로 어설션에 포함할 수 있습니다. 예를 들어:
<saml:AttributeStatement>
<saml:Attribute AttributeName="authenticationmethod" AttributeNamespace="http://schemas.microsoft.com/ws/2008/06/identity/claims">
<saml:AttributeValue>...</saml:AttributeValue>
<saml:AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</saml:AttributeValue>
</saml:Attribute>
</saml:AttributeStatement>
WS-Fed 또는 SAML 1.1에서 로그인 빈도 및 세션 제어 조건부 액세스 정책 사용
로그인 빈도는 SAML1.1/WS-Fed에서 암호를 사용하는 첫 번째 요소 인증의 AuthInstant인 UserAuthenticationInstant(SAML 어설션 http://schemas.microsoft.com/ws/2008/06/identity/claims/authenticationinstant)를 사용합니다.
SAML 2.0 페더레이션 IdP 사용
관리자가 Microsoft Entra ID 테넌트를, 페더레이션 IdP를 이용하여 SAMLP/SAML 2.0 페더레이션으로 구성할 수 있도록 선택적으로 설정할 경우, Microsoft Entra는 인증을 위해 해당 IdP로 리디렉션되며, SAML 2.0 어설션이 포함된 응답을 기대합니다. 인바운드 MFA 어설션은 AuthnStatement의 AuthnContext 요소에 있어야 합니다.
<AuthnStatement AuthnInstant="2024-11-22T18:48:07.547Z">
<AuthnContext>
<AuthnContextClassRef>http://schemas.microsoft.com/claims/multipleauthn</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
따라서 Microsoft Entra에서 인바운드 MFA 인증을 처리하려면
SAML 2.0에서 로그인 빈도 및 세션 제어 조건부 액세스 정책 사용
로그인 빈도은 AuthnStatement제공된 MFA 또는 First Factor 인증의 AuthInstant를 사용합니다. 페이로드의 AttributeReference 섹션에서 공유되는 모든 어설션은, http://schemas.microsoft.com/ws/2017/04/identity/claims/multifactorauthenticationinstant을 포함하여, 무시됩니다.