Metody uwierzytelniania w usłudze Microsoft Entra ID — tokeny OATH
Hasło jednorazowe (TOTP) oparte na protokole OATH to otwarty standard określający sposób generowania kodów haseł jednorazowych (OTP). Protokół OATH TOTP można zaimplementować przy użyciu oprogramowania lub sprzętu w celu wygenerowania kodów. Microsoft Entra ID nie obsługuje protokołu OATH HOTP, innego standardu generowania kodu.
Tokeny OATH oprogramowania
Programowe tokeny OATH to zazwyczaj aplikacje, takie jak aplikacja Microsoft Authenticator i inne aplikacje uwierzytelniające. Microsoft Entra ID generuje tajny klucz lub seed, który jest wprowadzany do aplikacji i używany do generowania każdego OTP.
Aplikacja Authenticator automatycznie generuje kody podczas konfigurowania powiadomień wypychanych, dzięki czemu użytkownik ma kopię zapasową, nawet jeśli urządzenie nie ma łączności. Mogą być również używane aplikacje innych firm korzystające z protokołu OATH TOTP do generowania kodów.
Niektóre tokeny sprzętowe OATH TOTP są programowalne, co oznacza, że nie mają klucza tajnego ani wstępnie zaprogramowanego inicjatora. Te programowalne tokeny sprzętowe można skonfigurować przy użyciu klucza tajnego lub inicjowania uzyskanego z przepływu konfiguracji tokenu oprogramowania. Klienci mogą zakupić te tokeny od wybranego dostawcy i użyć klucza tajnego lub inicjowania w procesie konfiguracji dostawcy.
Sprzętowe tokeny OATH (wersja zapoznawcza)
Identyfikator Entra firmy Microsoft obsługuje używanie tokenów SHA-1 i SHA-256 OATH-TOTP, które odświeżają kody co 30 lub 60 sekund. Klienci mogą zakupić te tokeny od wybranego dostawcy.
Identyfikator Entra firmy Microsoft ma nowy interfejs API programu Microsoft Graph w wersji zapoznawczej dla platformy Azure. Administratorzy mogą uzyskiwać dostęp do interfejsów API programu Microsoft Graph z najmniej uprzywilejowanymi rolami w celu zarządzania tokenami w wersji zapoznawczej. Nie ma żadnych opcji zarządzania sprzętowym tokenem OATH w tym odświeżeniu w wersji zapoznawczej w centrum administracyjnym firmy Microsoft Entra.
Możesz nadal zarządzać tokenami z oryginalnej wersji zapoznawczej w tokenach OATH w centrum administracyjnym firmy Microsoft Entra. Z drugiej strony można zarządzać tokenami tylko w ramach odświeżania w wersji zapoznawczej przy użyciu interfejsów API programu Microsoft Graph.
Sprzętowe tokeny OATH dodawane za pomocą programu Microsoft Graph na potrzeby tego odświeżania w wersji zapoznawczej są wyświetlane wraz z innymi tokenami w centrum administracyjnym. Można je jednak zarządzać tylko za pomocą programu Microsoft Graph.
Korekta dryfu czasu
Identyfikator Entra firmy Microsoft dostosowuje dryf czasu tokenów podczas aktywacji i każdego uwierzytelniania. W poniższej tabeli wymieniono korektę czasu, którą firma Microsoft Entra ID wykonuje dla tokenów podczas aktywacji i logowania.
| Interwał odświeżania tokenu | Zakres czasu aktywacji | Zakres czasu uwierzytelniania |
|---|---|---|
| 30 sekund | +/- 1 dzień | +/- 1 minuta |
| 60 s | +/- 2 dni | +/- 2 minuty |
Ulepszenia odświeżania w wersji zapoznawczej
To sprzętowe odświeżanie tokenu OATH w wersji zapoznawczej zwiększa elastyczność i bezpieczeństwo organizacji przez usunięcie wymagań administratora globalnego. Organizacje mogą delegować tworzenie, przypisywanie i aktywację tokenów administratorom uwierzytelniania uprzywilejowanego lub administratorom zasad uwierzytelniania.
W poniższej tabeli porównaliśmy wymagania roli administratora dotyczące zarządzania sprzętowymi tokenami OATH w odświeżeniu w wersji zapoznawczej a oryginalną wersją zapoznawcza.
| Zadanie | Oryginalna rola podglądu | Rola odświeżania podglądu |
|---|---|---|
| Utwórz nowy token w spisie dzierżawy. | Globalny administrator usługi | Administrator zasad uwierzytelniania |
| Odczytywanie tokenu ze spisu dzierżawy; nie zwraca wpisu tajnego. | Globalny administrator usługi | Administrator zasad uwierzytelniania |
| Zaktualizuj token w dzierżawie. Na przykład producent aktualizacji lub moduł; Nie można zaktualizować wpisu tajnego. | Globalny administrator usługi | Administrator zasad uwierzytelniania |
| Usuń token ze spisu dzierżawy. | Globalny administrator usługi | Administrator zasad uwierzytelniania |
W ramach odświeżania w wersji zapoznawczej użytkownicy końcowi mogą również przypisywać i aktywować tokeny ze swoich informacji zabezpieczających. W ramach odświeżania w wersji zapoznawczej token można przypisać tylko do jednego użytkownika. W poniższej tabeli wymieniono wymagania dotyczące tokenów i ról w celu przypisywania i aktywowania tokenów.
| Zadanie | Stan tokenu | Wymaganie roli |
|---|---|---|
| Przypisz token ze spisu do użytkownika w dzierżawie. | Przypisane | Element członkowski (self) Administrator uwierzytelniania Administrator uwierzytelniania uprzywilejowanego |
| Odczyt tokenu użytkownika nie zwraca wpisu tajnego. | Aktywowane/przypisane (zależy od tego, czy token został już aktywowany, czy nie) | Element członkowski (self) Administrator uwierzytelniania (ma tylko ograniczony odczyt, a nie standardowy odczyt) Administrator uwierzytelniania uprzywilejowanego |
| Zaktualizuj token użytkownika, na przykład podaj bieżący 6-cyfrowy kod aktywacji lub zmień nazwę tokenu. | Aktywowany | Element członkowski (self) Administrator uwierzytelniania Administrator uwierzytelniania uprzywilejowanego |
| Usuń token od użytkownika. Token wraca do spisu tokenów. | Dostępne (z powrotem do spisu dzierżawy) | Element członkowski (self) Administrator uwierzytelniania Administrator uwierzytelniania uprzywilejowanego |
W starszych zasadach uwierzytelniania wieloskładnikowego (MFA) można włączyć tylko razem tokeny sprzętowe i programowe OATH. Jeśli włączysz tokeny OATH w starszych zasadach uwierzytelniania wieloskładnikowego, użytkownicy końcowi zobaczą opcję dodawania sprzętowych tokenów OATH na stronie Informacje o zabezpieczeniach.
Jeśli nie chcesz, aby użytkownicy końcowi widzieli opcję dodawania sprzętowych tokenów OATH, przeprowadź migrację do zasad metod uwierzytelniania. W zasadach Metod uwierzytelniania można włączyć i zarządzać oddzielnie tokeny sprzętowe i programowe OATH. Aby uzyskać więcej informacji na temat sposobu migracji do zasad metod uwierzytelniania, zobacz Jak migrować ustawienia zasad uwierzytelniania wieloskładnikowego i samoobsługowego resetowania hasła do zasad Metod uwierzytelniania dla identyfikatora Entra firmy Microsoft.
Dzierżawy z licencją Microsoft Entra ID P1 lub P2 mogą nadal przekazywać sprzętowe tokeny OATH, tak jak w oryginalnej wersji zapoznawczej. Aby uzyskać więcej informacji, zobacz Przekazywanie sprzętowych tokenów OATH w formacie CSV.
Aby uzyskać więcej informacji na temat włączania sprzętowych tokenów OATH i interfejsów API programu Microsoft Graph, których można użyć do przekazywania, aktywowania i przypisywania tokenów, zobacz Jak zarządzać tokenami OATH.
Ikony tokenów OATH
Użytkownicy mogą dodawać tokeny OATH i zarządzać nimi w obszarze Informacje zabezpieczające lub wybrać pozycję Informacje zabezpieczające na moim koncie. Tokeny OATH oprogramowania i sprzętu mają różne ikony.
| Typ rejestracji tokenu | Ikona |
|---|---|
| Token oprogramowania OATH |  |
| Token sprzętowy OATH |  |
Powiązana zawartość
Dowiedz się więcej na temat zarządzania tokenami OATH. Dowiedz się więcej o dostawcach kluczy zabezpieczeń FIDO2, którzy są zgodni z uwierzytelnianiem bez hasła.