Τρόπος χρήσης των αρχείων καταγραφής ανιχνεύσεων Fiddler για ΣΠΙ στο Office 365 και Azure AD

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο έχει μεταφραστεί χρησιμοποιώντας λογισμικό μηχανικής μετάφρασης της Microsoft και μπορείτε να το διορθώσετε χρησιμοποιώντας την τεχνολογία Community Translation Framework (CTF) (Πλαίσιο μετάφρασης κοινότητας). Η Microsoft παρέχει μηχανική μετάφραση, επεξεργασία μετά τη μηχανική μετάφραση από την κοινότητα και άρθρα μεταφρασμένα από επαγγελματίες προκειμένου να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής βάσης σε πολλές γλώσσες. Τα άρθρα μηχανικής μετάφρασης και αυτά που επεξεργάζονται ύστερα από μηχανική μετάφραση ενδέχεται να περιέχουν σφάλματα στο λεξιλόγιο, στη σύνταξη ή/και στη γραμματική. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες μας. Για περισσότερες πληροφορίες σχετικά με το CTF, μεταβείτε στην τοποθεσία http://support.microsoft.com/gp/machine-translation-corrections/el.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη: 3106807
Περισσότερες πληροφορίες
Εάν ομόσπονδων ένα λογαριασμό χρήστη, ανακατευθύνεται ο χρήστης για την υπηρεσία διακριτικού διακομιστή (STS) για τον έλεγχο ταυτότητας και να login.microsoftonline.com και το διακριτικό SAML εκδίδεται από το STS. Εάν ο χρήστης γίνεται, login.microsoftonline.com ελέγχει την ταυτότητα του χρήστη ως κωδικός πρόσβασης του χρήστη.

ΣΠΙ ξεκινά μετά τον κωδικό πρόσβασης του χρήστη έχει επιβεβαιωθεί από Azure AD ή STS. Το SANeeded = 1 cookie θα οριστεί εάν ο χρήστης είναι ενεργοποιημένος για έλεγχο ταυτότητας ΣΠΙ στο Office 365 ή Azure κατάλογο. Η επικοινωνία μεταξύ του πελάτη και του login.microsoftonline.com με μετά τον έλεγχο ταυτότητας μέσω κωδικού χρήστη μοιάζει με το ακόλουθο:
POST https://login.microsoftonline.com/login.srf HTTP/1.1Host: login.microsoftonline.comHTTP/1.1 302 FoundSet-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1

Σενάριο 1: Εργασία ΣΠΙ σενάριο

Το SANeeded = 1 cookie ορίζεται μετά από έλεγχο ταυτότητας μέσω κωδικού. Η κυκλοφορία δικτύου στη συνέχεια ανακατευθύνεται στο τελικό σημείο: https://Login.microsoftonline.com/StrongAuthCheck.srf?, και ζητούνται οι διαθέσιμες μέθοδοι ελέγχου ταυτότητας.




ΣΠΙ ξεκινά με BeginAuthκαι, στη συνέχεια, ενεργοποιείται η τηλεφωνική κλήση στο πίσω άκρο στην τηλεφωνική υπηρεσία παροχής.




Αφού έχει ξεκινήσει η άδεια της ΣΠΙ, ο υπολογιστής-πελάτης ξεκινά ερωτήματος στο ίδιο τελικό σημείο για τη μέθοδο EndAuth για κάθε 10 δευτερόλεπτα για να ελέγξετε αν ο έλεγχος ταυτότητας ολοκληρώθηκε. Μέχρι την κλήση έχει συλλεχθεί και η επαλήθευση, επιστρέφεται το Resultvalue ως AuthenticationPending.




Όταν το τηλέφωνο έχει συλλεχθεί και η επαλήθευση, η απάντηση για το επόμενο ερώτημα για EndAuth θα είναι ένα ResultValueεπιτυχίας. Επιπλέον, ο χρήστης έχει ολοκληρώσει την Mulitifactor ελέγχου ταυτότητας. Επίσης το σύνολο Cookie: SANeeded = xxxxxxx cookie έχει οριστεί ως απάντηση, το οποίο θα δοθεί στο τελικό σημείο: login.srf να ολοκληρωθεί ο έλεγχος ταυτότητας.


Σενάριο 2: Όταν το τηλέφωνο είναι εκτός κάλυψης ή το τηλέφωνο δεν συλλέγεται

Όταν το τηλέφωνο δεν είναι συλλογή και επαλήθευση εντός 60 δευτερολέπτων μετά την πραγματοποίηση της κλήσης, το ResultValue θα οριστεί ως UserVoiceAuthFailedPhoneUnreachable. Και στο επόμενο ερώτημα για τη μέθοδο EndAuth , επιστρέφεται UserVoiceAuthFailedPhoneUnreachable , όπως φαίνεται στο Fiddler.


Σενάριο 3: Όταν η ειδοποίηση απάτης ενεργοποιείται για να απενεργοποιήσετε το λογαριασμό στο σύννεφο

Όταν το τηλέφωνο δεν έχει συλλεχθεί και μια προειδοποίηση για απάτη καταχωρηθεί εντός 60 δευτερολέπτων μετά την πραγματοποίηση της κλήσης, το ResultValue θα οριστεί ως AuthenticationMethodFailed. Και κατά το επόμενο ερώτημα για τη μέθοδο EndAuth , επιστρέφεται μια απάντηση AuthenticationMethodFailed , όπως φαίνεται στο Fiddler.



Σενάριο 4: για ένα αποκλεισμένο λογαριασμό

Εάν ο χρήστης έχει αποκλειστεί, ResultValue θα οριστεί ως UserIsBlocked. Κατά το πρώτο ερώτημα για τη μέθοδο EndAuth , UserIsBlocked θα επιστραφεί, όπως φαίνεται στο Fiddler.




Λύση: Σε ένα σενάριο ΣΠΙ Azure με μια συνδρομή Azure, μπορείτε να επιτρέψετε κατά την πρώτη σύνδεσή σας manage.windowsazure.com. Στη συνέχεια, επιλέξτε καταλόγου > χρήστες και Διαχείριση πολλαπλών συντελεστή ελέγχου ταυτότητας> Ρυθμίσεις υπηρεσίας. Στο τέλος της σελίδας, επιλέξτε Μετάβαση στην πύλη. Τώρα, στο https://pfweb.phonefactor.NET/framefactory, επιλέξτε Χρήστες μπλοκ/κατάργηση της αποκλεισμού για να βρείτε τη λίστα των αποκλεισμένων χρηστών.

Εάν είναι ενεργοποιημένη η ΣΠΙ μέσω του Office 365, ανοίξει μια υπόθεση υποστήριξης με τη Microsoft για να άρετε τον αποκλεισμό.

Σενάριο 5: ΣΠΙ για διαχειριζόμενους λογαριασμούς

Σε αυτήν την περίπτωση, ο έλεγχος ταυτότητας παραμένει η ίδια, αλλά θα τις απολήξεις https://Login.microsoftonline.com/Common/SAS/BeginAuth και https://Login.microsoftonline.com/Common/SAS/EndAuth αντί για https://Login.microsoftonline.com/StrongAuthCheck.srf? ως για την ομόσπονδη λογαριασμούς.

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Egenskaber

Artikel-id: 3106807 – Seneste udgave 11/09/2015 18:58:00 – Udgave 1.0

Microsoft Office 365, Microsoft Azure Active Directory

  • kbhowto kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3106807 KbMtel
Feedback