Cómo utilizar los registros de seguimiento de Fiddler para AMF en Office 365 y AD de Azure

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3106807
Más información
Si una cuenta de usuario está agrupada, se redirige al usuario al servicio de Token servidor (STS) para la autenticación y para login.microsoftonline.com y emite el token SAML STS. Si el usuario está gestionado, login.microsoftonline.com autentica al usuario mediante la contraseña del usuario.

AMF se inicia después de que la contraseña del usuario ha sido verificada por AD Azure o STS. El SANeeded = 1 cookie se establecerá si el usuario está habilitado para la autenticación en el directorio de Office 365 o Azure AMF. La comunicación entre el cliente y login.microsoftonline.com el después de la autenticación de contraseña de usuario similar a la siguiente:
POST https://login.microsoftonline.com/login.srf HTTP/1.1Host: login.microsoftonline.comHTTP/1.1 302 FoundSet-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1

Escenario 1: Trabajar escenario AMF

El SANeeded = 1 cookie se establece después de la autenticación de contraseña. A continuación, se redirige el tráfico de red al extremo: https://Login.microsoftonline.com/StrongAuthCheck.srf?, y se solicitan los métodos de autenticación disponibles.




AMF comienza con BeginAuthy, a continuación, se activa la llamada de teléfono en el back-end para el proveedor de servicio de teléfono.




Una vez iniciada la autorización AMF, el cliente comienza a consultar el mismo extremo del método EndAuth cada 10 segundos para comprobar si se ha completado la autenticación. Hasta que la llamada se ha seleccionado y verificado, se devuelve el Resultvalue como AuthenticationPending.




Cuando seleccionado y verificado el teléfono, la respuesta a la consulta siguiente para EndAuth será un ResultValue de éxito. Además, el usuario ha completado la autenticación Mulitifactor. También el Set-Cookie: SANeeded = xxxxxxx cookie se establece en la respuesta, que se dará al extremo: login.srf autenticación completa.


Escenario 2: Cuando el teléfono está fuera de la cobertura o el teléfono no se selecciona

Cuando el teléfono no está seleccionado y verificado en 60 segundos después de que se realiza la llamada, se establecerá el ResultValue como UserVoiceAuthFailedPhoneUnreachable. Y en la consulta siguiente para el método EndAuth , se devuelve UserVoiceAuthFailedPhoneUnreachable , como se ve en Fiddler.


Escenario 3: Cuando la alerta de fraude se desencadena por bloquear la cuenta en la nube

Cuando no se ha seleccionado el teléfono y un alerta de fraude registrado en 60 segundos después de que se realiza la llamada, se establecerá el ResultValue como AuthenticationMethodFailed. Y en la consulta siguiente para el método EndAuth , se devuelve una respuesta de AuthenticationMethodFailed , como se ve en Fiddler.



Escenario 4: para una cuenta bloqueada

Si el usuario está bloqueado, se establecerá ResultValue como UserIsBlocked. En la primera consulta para el método EndAuth , se devolverá UserIsBlocked , como se ve en Fiddler.




Solución: En un escenario de Azure AMF con una suscripción de Azure, pueden desbloquear iniciar sesión primero en manage.windowsazure.com. A continuación, seleccione directorio > los usuarios y administrar múltiples factor autenticación> servicio configuración. Al final de la página, seleccione Ir al portal. Ahora, en https://pfweb.phonefactor.NET/framefactory, seleccione Bloquear/desbloquear usuarios para buscar la lista de usuarios bloqueados.

Si está habilitada la AMF mediante Office 365, abra un caso de soporte con Microsoft para desbloquearlo.

Escenario 5: AMF para cuentas administradas

En esta situación, autenticación, sigue siendo el mismo, pero los extremos será https://Login.microsoftonline.com/Common/SAS/BeginAuth y https://Login.microsoftonline.com/Common/SAS/EndAuth en lugar de https://Login.microsoftonline.com/StrongAuthCheck.srf? en cuanto a las cuentas federadas.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3106807 - Última revisión: 11/09/2015 18:59:00 - Revisión: 1.0

Microsoft Office 365, Microsoft Azure Active Directory

  • kbhowto kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3106807 KbMtes
Comentarios