Das Fiddler-Ablaufverfolgungsprotokolle für MFA in Office 365 und Azure AD

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3106807
Zusammenfassung
In diesem Artikel wird das Ablaufverfolgungsprotokoll Fiddler für die folgenden Szenarien für die kombinierte Authentifizierung (MFA):
Weitere Informationen
Ein Benutzerkonto verbunden ist, der Benutzer umgeleitet wird, um Service Token Server (STS) für die Authentifizierung und login.microsoftonline.com und das SAML-Token vom STS ausgestellt. Wenn Benutzer verwaltete authentifiziert login.microsoftonline.com den Benutzer durch das Kennwort des Benutzers.

MFA beginnt nach der Überprüfung des Benutzerkennworts von Azure AD oder STS. Die SANeeded = 1 Cookie festgelegt, wenn der Benutzer für die Authentifizierung im Office 365 oder Azure MFA aktiviert ist. Die Kommunikation zwischen dem Client und login.microsoftonline.com an nach die Benutzerkennwort-Authentifizierung die folgenden ähnelt:
POST https://login.microsoftonline.com/login.srf HTTP/1.1Host: login.microsoftonline.comHTTP/1.1 302 FoundSet-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1

Szenario 1: Arbeiten MFA-Szenario

Die SANeeded = 1 Cookie nach Kennwortauthentifizierung festgelegt. Netzwerkverkehr wird zum Endpunkt umgeleitet: Https://Login.microsoftonline.com/StrongAuthCheck.srf?, und verfügbaren Authentifizierungsmethoden sind.




MFA beginnt mit BeginAuthund dann den Anruf auf den Back-End vom Mobilfunkanbieter ausgelöst.




Nach Beginn der MFA Autorisierung beginnt der Client dieselbe IP-Adresse für die EndAuth -Methode alle 10 Sekunden abgefragt, um festzustellen, ob die Authentifizierung abgeschlossen wurde. Ausgewählt und überprüft den Aufrufs wird Resultvalue als AuthenticationPendingzurückgegeben.




Wenn ausgewählt und überprüft das Telefon werden die Antwort für die nächste Abfrage für EndAuth eine ResultValue des Erfolgs. Darüber hinaus hat der Benutzer Mulitifactor Authentifizierung abgeschlossen. Auch die Set-Cookie: SANeeded = Xxxxxxx Cookie in der Antwort auf den Endpunkt festgelegt: login.srf vollständige Authentifizierung.


Szenario 2: Telefon Abdeckung oder Telefon wird nicht übernommen wird

Wenn das Telefon nicht entnommen und innerhalb von 60 Sekunden nach der Aufruf überprüft wird, wird ResultValue als UserVoiceAuthFailedPhoneUnreachablefestgelegt werden. Und bei der nächsten Abfrage für die EndAuth -Methode UserVoiceAuthFailedPhoneUnreachable zurückgegeben, wie in Fiddler.


Szenario 3: Wenn Auslösen der betrugswarnung Sperren in der cloud

Wenn das Telefon nicht entnommen wurden und ein betrugswarnung innerhalb von 60 Sekunden nach der Aufruf gebucht wird ResultValue als AuthenticationMethodFailedfestlegen. Und bei der nächsten Abfrage für die EndAuth -Methode eine AuthenticationMethodFailed Antwort zurückgegeben, wie in Fiddler.



Szenario 4: für gesperrte Konto

Wenn der Benutzer gesperrt ist, wird ResultValue als UserIsBlockedfestgelegt werden. Bei der ersten Abfrage für die EndAuth -Methode UserIsBlocked zurückgegeben wie in Fiddler.




Lösung: In einem Szenario Azure MFA in Azure-Abonnement können Sie nach der ersten Anmeldung manage.windowsazure.com entsperren. Wählen Sie Directory > Benutzer und Verwalten Multi-Factor Authentication> Einstellungen. Am Ende der Seite Wählen Sie Portal. In https://pfweb.phonefactor.NET/framefactory, wählen Sie Sperren/Entsperren Benutzer zu der Liste der gesperrten Benutzer.

Wenn MFA über Office 365 aktiviert ist, öffnen Sie eine Support-Anfrage mit Microsoft entsperren.

Szenario 5: MFA für verwaltete Konten

In diesem Fall Authentifizierung bleibt gleich, aber die Endpunkte werden https://Login.microsoftonline.com/Common/SAS/BeginAuth und https://Login.microsoftonline.com/Common/SAS/EndAuth anstelle von https://Login.microsoftonline.com/StrongAuthCheck.srf? für die verbundenen Konten.

Warnung: Dieser Artikel wurde automatisch übersetzt.

خصائص

رقم الموضوع: 3106807 - آخر مراجعة: 11/09/2015 18:58:00 - المراجعة: 1.0

Microsoft Office 365, Microsoft Azure Active Directory

  • kbhowto kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3106807 KbMtde
تعليقات