Teď jste offline a čekáte, až se znova připojí internet.

Použití nástroje Fiddler trasovací protokoly pro MFA ve službách Office 365 a Azure AD

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 3106807
Souhrn
Tento článek představuje Fiddler trasovacího protokolu pro následující scénáře vícefaktorového ověřování (MFA):
Další informace
Pokud je federované uživatelský účet, bude uživatel přesměrován na služby tokenu Server (STS) pro ověřování a login.microsoftonline.com a SAML token vydává STS. Pokud uživatel je spravován, login.microsoftonline.com ověřuje uživatele pomocí hesla.

MFA spustí po hesla byly ověřeny Azure AD nebo STS. SANeeded = 1 soubor cookie bude nastavena, pokud je uživateli povoleno ověřování MFA v adresáři služeb Office 365 nebo Azure. Komunikace mezi klientem a login.microsoftonline.com při po ověřování pomocí hesla uživatele podobná následující:
POST https://login.microsoftonline.com/login.srf HTTP/1.1Host: login.microsoftonline.comHTTP/1.1 302 FoundSet-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1

Scénář 1: Práce scénář MFA

SANeeded = 1 soubor cookie je nastaven po ověřování pomocí hesla. Provoz v síti je pak přesměrován na koncový bod: https://Login.microsoftonline.com/StrongAuthCheck.srf?, a jsou k dispozici metody ověřování.




MFA začíná BeginAutha pak se spustí telefonní hovor na back-end na poskytovatel metadat telefonního.




Po zahájení MFA autorizace klient spustí dotaz stejný koncový bod pro EndAuth metoda zkontrolujte, zda bylo dokončeno ověřování každých 10 sekund. Dokud volání bylo vydáno a ověřena, Resultvalue je vrácen jako AuthenticationPending.




Telefon po vyskladnění a ověřena, bude odpověď pro další dotaz pro EndAuthResultValueúspěchu. Kromě toho uživatel dokončil Mulitifactor ověřování. Také Set-Cookie: SANeeded = xxxxxxx soubor cookie je nastaven jako odpověď dostane ke koncovému bodu: login.srf na dokončení ověřování.


Scénář 2: Po telefonu mimo rozsah nebo telefonu není vyskladněno.

Pokud telefon není vyskladněno a ověřena během 60 sekund po při volání, ResultValue bude nastaven jako UserVoiceAuthFailedPhoneUnreachable. A na další dotaz pro EndAuth metoda UserVoiceAuthFailedPhoneUnreachable vrátí, viděno Fiddler.


Scénář 3: Pokud podvodu je výstraha pro uzavření účtu v cloudu

Když telefon ještě nebyly vydány a zaúčtována do 60 sekund po při volání výstrahu podvodu, ResultValue bude nastaven jako AuthenticationMethodFailed. A na další dotaz pro metodu EndAuth , je vrácena odpověď AuthenticationMethodFailed , jak je vidět v Fiddler.



Scénář 4: pro zablokovaného účtu.

Pokud uživatel zablokován, nastaví se jako UserIsBlockedResultValue . Při prvním dotazu pro metodu EndAuthUserIsBlocked bude vrácena, viděno Fiddler.




Řešení: V případě Azure MFA Azure předplatné můžete odblokovat prvním přihlášením do manage.windowsazure.com. Vyberte Directory > uživatelů a Spravovat více faktor ověřování> Nastavení služby. Na konci stránky zvolte možnost Přejít na portál. Nyní, v https://pfweb.phonefactor.NET/framefactory, vyberte Zablokovat/odblokovat uživatelům najít seznam blokovaných uživatelů.

Pokud MFA je povoleno prostřednictvím služeb Office 365, otevřete případ podpory společnosti Microsoft jej odblokovat.

Scénář 5: MFA pro spravované účty

V takovém případě ověřování zůstává stejné, ale bude koncové body https://Login.microsoftonline.com/common/SAS/BeginAuth a https://Login.microsoftonline.com/common/SAS/EndAuth místo https://Login.microsoftonline.com/StrongAuthCheck.srf? jako pro federované účty.

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 3106807 - Poslední kontrola: 11/09/2015 18:57:00 - Revize: 1.0

Microsoft Office 365, Microsoft Azure Active Directory

  • kbhowto kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3106807 KbMtcs
Váš názor