Come utilizzare i registri di traccia Fiddler per AMF in Office 365 e AD Azure

IMPORTANTE: il presente articolo è stato tradotto tramite un software di traduzione automatica di Microsoft ed eventualmente revisionato dalla community Microsoft tramite la tecnologia CTF (Community Translation Framework) o da un traduttore professionista. Microsoft offre articoli tradotti manualmente e altri tradotti automaticamente e rivisti dalla community con l’obiettivo di consentire all'utente di accedere a tutti gli articoli della Knowledge Base nella propria lingua. Tuttavia, un articolo tradotto automaticamente, anche se rivisto dalla community, non sempre è perfetto. Potrebbe contenere errori di vocabolario, di sintassi o di grammatica. Microsoft declina ogni responsabilità per imprecisioni, errori o danni causati da una traduzione sbagliata o dal relativo utilizzo da parte dei clienti. Microsoft aggiorna frequentemente il software e gli strumenti di traduzione automatica per continuare a migliorare la qualità della traduzione.

Clicca qui per visualizzare la versione originale in inglese dell’articolo: 3106807
Informazioni
Se un account utente è federato, l'utente viene reindirizzato per il servizio Server token di per l'autenticazione e per login.microsoftonline.com e il token SAML rilasciato da STS. Se l'utente è gestita, login.microsoftonline.com esegue l'autenticazione dell'utente tramite la password dell'utente.

AMF inizia dopo che la password è stata verificata da Active Directory Azure o STS. Il SANeeded = 1 verrà impostato il cookie se l'utente è abilitato per l'autenticazione AMF nella directory Office 365 o Azure. La comunicazione tra il client e login.microsoftonline.com nel dopo l'autenticazione della password dell'utente sarà simile al seguente:
POST https://login.microsoftonline.com/login.srf HTTP/1.1Host: login.microsoftonline.comHTTP/1.1 302 FoundSet-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1

Scenario 1: Utilizzare scenario AMF

Il SANeeded = 1 cookie viene impostato dopo l'autenticazione di password. Il traffico di rete viene quindi reindirizzato all'endpoint di tipo: https://Login.microsoftonline.com/StrongAuthCheck.srf?, e metodi di autenticazione disponibili sono richiesti.




AMF inizia con BeginAuth, e quindi la telefonata viene attivata sul back-end per il servizio di telefonia.




Dopo aver iniziato l'autorizzazione AMF, il client inizia a eseguire una query ogni 10 secondi lo stesso endpoint per il metodo EndAuth per verificare se l'autenticazione è stata completata. Fino a quando la chiamata è stata prelevata e verificata, viene restituito il Resultvalue come AuthenticationPending.




Quando il telefono viene prelevato e verificato, la risposta per la query successiva per EndAuth sarà un ResultValue di successo. Inoltre, l'utente ha completato l'autenticazione Mulitifactor. Anche il Set-Cookie: SANeeded = xxxxxxx cookie è impostata nella risposta, che verrà assegnata all'endpoint: SRF l'autenticazione.


Scenario 2: Quando il telefono è fuori copertura o il telefono non vengono ritirate

Quando il telefono non verrà prelevato e viene verificato entro 60 secondi dopo la chiamata viene effettuata, verrà impostato il ResultValue come UserVoiceAuthFailedPhoneUnreachable. E la query successiva per il metodo EndAuth , UserVoiceAuthFailedPhoneUnreachable viene restituito, come visto in Fiddler.


Scenario 3: Quando le frodi viene generato l'avviso di bloccare il conto nel cloud

Quando il telefono non è stato prelevato e un avviso di frode pubblicato entro 60 secondi dopo la chiamata viene effettuata, verrà impostato come AuthenticationMethodFaileddi ResultValue . E la query successiva per il metodo EndAuth , viene restituita una risposta di AuthenticationMethodFailed , come visto in Fiddler.



Scenario 4: per un account bloccato

Se l'utente è bloccato, ResultValue verrà impostato come UserIsBlocked. La prima query per il metodo EndAuth , UserIsBlocked verrà restituito, come visto in Fiddler.




Soluzione: In uno scenario di Azure AMF con una sottoscrizione di Azure, è possibile sbloccare prima effettuare l'accesso a manage.windowsazure.com. Selezionare Directory > utenti e la gestione Multi fattore autenticazione> le impostazioni del servizio. Alla fine della pagina, selezionare Vai al portale. A questo punto, in https://pfweb.phonefactor.NET/framefactory, selezionare Gli utenti di blocco/sblocco per trovare l'elenco degli utenti bloccati.

Se è attivata AMF mediante Office 365, aprire un caso di supporto con Microsoft per sbloccarlo.

Scenario 5: AMF per gli account gestiti

In questo caso, autenticazione rimane invariato, ma gli endpoint saranno https://Login.microsoftonline.com/Common/SAS/BeginAuth e https://Login.microsoftonline.com/Common/SAS/EndAuth invece di https://Login.microsoftonline.com/StrongAuthCheck.srf? come avviene per gli account federati.

Avviso: questo articolo è stato tradotto automaticamente

Proprietà

ID articolo: 3106807 - Ultima revisione: 11/09/2015 19:00:00 - Revisione: 1.0

Microsoft Office 365, Microsoft Azure Active Directory

  • kbhowto kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3106807 KbMtit
Feedback