Como usar os logs de rastreamento Fiddler para MFA no Office 365 e Azure AD

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3106807
Mais Informações
Se uma conta de usuário é federada, o usuário é redirecionado para o serviço servidor STS (Token) para autenticação e login.microsoftonline.com, e o token SAML emitido pelo STS. Se o usuário for gerenciado, login.microsoftonline.com autentica o usuário por meio de senha do usuário.

MFA inicia após a senha do usuário foi verificada pelo AD Azure ou STS. O SANeeded = 1 cookie será definido se o usuário estiver habilitado para autenticação de MFA no diretório Office 365 ou do Azure. A comunicação entre o cliente e login.microsoftonline.com ao depois que a autenticação de senha de usuário semelhante à seguinte:
POST https://login.microsoftonline.com/login.srf HTTP/1.1Host: login.microsoftonline.comHTTP/1.1 302 FoundSet-Cookie: SANeeded=1; domain=login.microsoftonline.com;secure= ;path=/;HTTPOnly= ;version=1

Cenário 1: Trabalhando cenário MFA

O SANeeded = 1 cookie é definido após a autenticação de senha. O tráfego de rede é redirecionado para o ponto de extremidade: https://login.microsoftonline.com/StrongAuthCheck.srf?, e métodos de autenticação disponíveis são solicitados.




MFA começa com BeginAuthe, em seguida, a chamada telefônica é disparada no back-end para o provedor de serviços telefônicos.




Depois de iniciada a autorização de MFA, o cliente começa a consultar o mesmo ponto de extremidade para o método EndAuth a cada 10 segundos para verificar se a autenticação foi concluída. Até que a chamada foi separada e verificada, o Resultvalue é retornado como AuthenticationPending.




Quando o telefone foram separado e verificado, a resposta para a consulta seguinte para EndAuth será um ResultValue de sucesso. Além disso, o usuário foi concluída a autenticação Mulitifactor. Também o Set-Cookie: SANeeded = xxxxxxx cookie está definido na resposta, que será dada ao ponto de extremidade: login.srf a autenticação completa.


Cenário 2: Quando o telefone estiver fora de cobertura ou o telefone não separado

Quando o telefone não está separado e verificado dentro de 60 segundos depois que a chamada é feita, o ResultValue será definida como UserVoiceAuthFailedPhoneUnreachable. E na próxima consulta para o método EndAuth , o UserVoiceAuthFailedPhoneUnreachable for retornado, como visto no Fiddler.


Cenário 3: Quando o alerta de fraude é disparado para bloquear a conta na nuvem

Quando o telefone não foram separado e um alerta de fraude lançado dentro de 60 segundos depois que a chamada é feita, o ResultValue será definida como AuthenticationMethodFailed. E na próxima consulta para o método EndAuth , uma resposta AuthenticationMethodFailed for retornada, como visto no Fiddler.



Cenário 4: para uma conta bloqueada

Se o usuário estiver bloqueado, ResultValue será definida como UserIsBlocked. A primeira consulta para o método EndAuth , UserIsBlocked será retornado, como visto no Fiddler.




Solução: Em um cenário de Azure MFA com uma assinatura do Azure, você pode desbloquear através do primeiro login em manage.windowsazure.com. Em seguida, selecione Directory > usuários e gerenciar vários fatores autenticação> configurações do serviço. No final da página, selecione Ir para o portal. Agora, em https://pfweb.phonefactor.NET/framefactory, selecione Bloquear/desbloquear usuários para encontrar a lista de usuários bloqueados.

Se MFA estiver habilitado por meio do Office 365, abra um caso de suporte com a Microsoft para desbloqueá-lo.

Cenário 5: MFA para contas gerenciadas

Nessa situação, autenticação permanece o mesmo, mas os pontos de extremidade será https://login.microsoftonline.com/Common/SAS/BeginAuth e https://login.microsoftonline.com/Common/SAS/EndAuth em vez de https://login.microsoftonline.com/StrongAuthCheck.srf? como para as contas federadas.

Propriedades

ID do Artigo: 3106807 - Última Revisão: 11/09/2015 19:02:00 - Revisão: 1.0

Microsoft Office 365, Microsoft Azure Active Directory

  • kbhowto kbinfo kbexpertiseadvanced kbsurveynew kbmt KB3106807 KbMtpt
Comentários