Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen las solicitudes de autenticación de SAML 2.0 (lenguaje de marcado de aserción de seguridad) y las respuestas que admite Microsoft Entra ID para el inicio de sesión único (SSO).
En el diagrama de protocolo siguiente se describe la secuencia de inicio de sesión único. El servicio en la nube (el proveedor de servicios) usa un enlace de redirección HTTP para pasar un elemento de AuthnRequest (solicitud de autenticación) a Microsoft Entra ID (el proveedor de identidades). A continuación, microsoft Entra ID usa un enlace de entrada HTTP para publicar un elemento Response en el servicio en la nube.
Nota
En este artículo se describe el uso de SAML para el inicio de sesión único. Para obtener más información sobre otras formas de controlar el inicio de sesión único (por ejemplo, mediante OpenID Connect o la autenticación integrada de Windows), consulte Inicio de sesión único en aplicaciones de Microsoft Entra ID.
AuthnRequest
Para solicitar una autenticación de usuario, los servicios en la nube envían un elemento AuthnRequest a Microsoft Entra ID. Un ejemplo de SAML 2.0 AuthnRequest podría parecerse al ejemplo siguiente:
<samlp:AuthnRequest
xmlns="urn:oasis:names:tc:SAML:2.0:metadata"
ID="C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1w"
Version="2.0" IssueInstant="2013-03-18T03:28:54.1839884Z"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer>
</samlp:AuthnRequest>
| Parámetro | Tipo | Descripción |
|---|---|---|
ID |
Obligatorio | Microsoft Entra ID usa este atributo para rellenar el atributo InResponseTo de la respuesta devuelta. El identificador no debe comenzar con un número, por lo que una estrategia común consiste en anteponer una cadena como "ID" a la representación de cadena de un GUID. Por ejemplo, id6c1c178c166d486687be4aaf5e482730 es un identificador válido. |
Version |
Obligatorio | Este parámetro debe establecerse en 2.0. |
IssueInstant |
Obligatorio | Se trata de una cadena DateTime con un valor UTC y formato de ida y vuelta ("o"). Microsoft Entra ID espera un valor DateTime de este tipo, pero no evalúa ni usa el valor. |
AssertionConsumerServiceURL |
Opcional | Si se proporciona, este parámetro debe coincidir con el RedirectUri del servicio en la nube en el id. de Microsoft Entra. Entra ID respetará la dirección URL de ACS si está presente en la solicitud SAML. |
ForceAuthn |
Opcional | Se trata de un valor booleano. Si es true, significa que el usuario se verá obligado a volver a autenticarse, aunque tenga una sesión válida con el identificador de Entra de Microsoft. |
IsPassive |
Opcional | Se trata de un valor booleano que especifica si Microsoft Entra ID debe autenticar al usuario de forma silenciosa, sin interacción del usuario, mediante la cookie de sesión si existe una. Si esto es cierto, el identificador de Entra de Microsoft intenta autenticar al usuario mediante la cookie de sesión. |
Todos los demás atributos de AuthnRequest, como Consent, Destinationy ProviderName se omiten .
Microsoft Entra ID también omite el elemento Conditions en AuthnRequest.
Emisor
El elemento Issuer de un AuthnRequest debe coincidir exactamente con uno de los ServicePrincipalNames en el servicio en la nube en microsoft Entra ID. Normalmente, se establece en el URI de id. de aplicación que se especifica durante el registro de la aplicación.
Un extracto de SAML que contiene el elemento Issuer tiene el siguiente aspecto:
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://www.contoso.com</Issuer>
NameIDPolicy
Este elemento solicita un formato de identificador de nombre determinado en la respuesta y es opcional en AuthnRequest elementos enviados a Microsoft Entra ID.
Un elemento NameIdPolicy tiene el siguiente aspecto:
<NameIDPolicy Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"/>
Si se proporciona NameIDPolicy, puede incluir su atributo opcional Format. El atributo Format solo puede tener uno de los siguientes valores; cualquier otro valor produce un error.
-
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent: El identificador de Microsoft Entra emite la notificaciónNameIDcomo identificador en pares. -
urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress: El identificador de Entra de Microsoft emite la notificaciónNameIDen formato de dirección de correo electrónico. -
urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified: este valor permite que Microsoft Entra ID seleccione el formato de notificación. Microsoft Entra ID emite la notificaciónNameIDcomo un identificador en pares. -
urn:oasis:names:tc:SAML:2.0:nameid-format:transient: Microsoft Entra ID emite laNameIDnotificación como un valor generado aleatoriamente que es único para la operación de SSO actual. Esto significa que el valor es temporal y no se puede usar para identificar al usuario de autenticación.
Si se especifica SPNameQualifier, el identificador de Entra de Microsoft incluye el mismo SPNameQualifier en la respuesta.
Microsoft Entra ID omite el atributo AllowCreate.
RequestedAuthnContext
El elemento RequestedAuthnContext especifica los métodos de autenticación deseados. Es opcional en AuthnRequest elementos enviados a Microsoft Entra ID.
Nota
Si el RequestedAuthnContext se incluye en la solicitud SAML, el elemento Comparison debe establecerse en exact.
Microsoft Entra ID admite los siguientes valores de AuthnContextClassRef.
| Método de autenticación | URI de clase de contexto de autenticación |
|---|---|
| Kerberos | urn:oasis:names:tc:SAML:2.0:ac:classes:Kerberos |
| Nombre de usuario y contraseña | urn:oasis:names:tc:SAML:2.0:ac:classes:Password |
| Infraestructura de clave pública PGP | urn:oasis:names:tc:SAML:2.0:ac:classes:PGP |
| Contraseña remota segura | urn:oasis:names:tc:SAML:2.0:ac:classes:SecureRemotePassword |
| Firma digital XML | urn:oasis:names:tc:SAML:2.0:ac:classes:XMLDSig |
| Infraestructura de clave pública simple | urn:oasis:names:tc:SAML:2.0:ac:classes:SPKI |
| Tarjeta inteligente | urn:oasis:names:tc:SAML:2.0:ac:classes:Smartcard |
| Tarjeta inteligente con clave privada cerrada y un PIN | urn:oasis:names:tc:SAML:2.0:ac:classes:SmartcardPKI |
| Cliente de seguridad de la capa de transporte (TLS) | urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient |
| No especificado | urn:oasis:names:tc:SAML:2.0:ac:classes:Unspecified |
| Certificado X.509 | urn:oasis:names:tc:SAML:2.0:ac:classes:X509 |
| Autenticación integrada de Windows | urn:federation:authentication:windows |
Ámbito
El elemento Scoping, que incluye una lista de proveedores de identidades, es opcional en AuthnRequest elementos enviados a Microsoft Entra ID.
Si se proporciona, no incluya el atributo ProxyCount, IDPListOption ni RequesterID elemento, ya que no se admiten.
Firma
Un elemento Signature de AuthnRequest elementos es opcional. Microsoft Entra ID se puede configurar para aplicar el requisito de solicitudes de autenticación firmadas. Si está habilitada, solo se aceptan solicitudes de autenticación firmadas; de lo contrario, solo se proporciona la comprobación del solicitante al responder a las direcciones URL registradas del Servicio de consumidor de aserciones.
Asunto
No incluya un elemento Subject. Microsoft Entra ID no admite la especificación de un asunto en AuthnRequest y devolverá un error si se proporciona uno.
En su lugar, se puede proporcionar un asunto agregando un parámetro login_hint a la solicitud HTTP a la dirección URL de inicio de sesión único, con nameID del firmante como valor de parámetro.
Respuesta
Cuando un inicio de sesión solicitado se completa correctamente, Microsoft Entra ID envía una respuesta al servicio en la nube. Una respuesta a un intento de inicio de sesión correcto es similar al ejemplo siguiente:
<samlp:Response ID="_a4958bfd-e107-4e67-b06d-0d85ade2e76a" Version="2.0" IssueInstant="2013-03-18T07:38:15.144Z" Destination="https://contoso.com/identity/inboundsso.aspx" InResponseTo="C2dE3fH4iJ5kL6mN7oP8qR9sT0uV1w" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
<SignatureValue xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
...
</SignatureValue>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success" />
</samlp:Status>
<Assertion ID="_bf9c623d-cc20-407a-9a59-c2d0aee84d12" IssueInstant="2013-03-18T07:38:15.144Z" Version="2.0" xmlns="urn:oasis:names:tc:SAML:2.0:assertion">
<Issuer>https://login.microsoftonline.com/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
<SignatureValue xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
...
</SignatureValue>
<Subject>
<NameID>Uz2Pqz1X7pxe4XLWxV9KJQ+n59d573SepSAkuYKSde8=</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData InResponseTo="id758d0ef385634593a77bdf7e632984b6" NotOnOrAfter="2013-03-18T07:43:15.144Z" Recipient="https://contoso.com/identity/inboundsso.aspx" />
</SubjectConfirmation>
</Subject>
<Conditions NotBefore="2013-03-18T07:38:15.128Z" NotOnOrAfter="2013-03-18T08:48:15.128Z">
<AudienceRestriction>
<Audience>https://www.contoso.com</Audience>
</AudienceRestriction>
</Conditions>
<AttributeStatement>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
<AttributeValue>[email protected]</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
<AttributeValue>3F2504E0-4F89-11D3-9A0C-0305E82C3301</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences"> <AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
<AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>
</Attribute>
...
</AttributeStatement>
<AuthnStatement AuthnInstant="2013-03-18T07:33:56.000Z" SessionIndex="_bf9c623d-cc20-407a-9a59-c2d0aee84d12">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
</Assertion>
</samlp:Response>
Respuesta
El elemento Response incluye el resultado de la solicitud de autorización. Microsoft Entra ID establece los valores de ID, Version y IssueInstant en el elemento Response. También establece los siguientes atributos:
-
Destination: cuando el inicio de sesión se completa correctamente, se establece en delRedirectUriproveedor de servicios (servicio en la nube). -
InResponseTo: se establece en el atributoIDdel elementoAuthnRequestque inició la respuesta.
Emisor
El identificador de Microsoft Entra establece el elemento Issuer en https://sts.windows.net/<TenantIDGUID>/ donde <TenantIDGUID> es el identificador de inquilino del inquilino de Microsoft Entra.
Por ejemplo, una respuesta con el elemento Issuer podría tener un aspecto similar al ejemplo siguiente:
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion"> https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
Estado
El elemento Status transmite el éxito o el error de inicio de sesión. Incluye el elemento StatusCode, que contiene un código o un conjunto de códigos anidados que representa el estado de la solicitud. También incluye el elemento StatusMessage, que contiene mensajes de error personalizados que se generan durante el proceso de inicio de sesión.
El ejemplo siguiente es una respuesta SAML a un intento de inicio de sesión incorrecto.
<samlp:Response ID="_f0961a83-d071-4be5-a18c-9ae7b22987a4" Version="2.0" IssueInstant="2013-03-18T08:49:24.405Z" InResponseTo="iddce91f96e56747b5ace6d2e2aa9d4f8c" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
<Issuer xmlns="urn:oasis:names:tc:SAML:2.0:assertion">https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
<samlp:Status>
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Requester">
<samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:RequestUnsupported" />
</samlp:StatusCode>
<samlp:StatusMessage>AADSTS75006: An error occurred while processing a SAML2 Authentication request. AADSTS90011: The SAML authentication request property 'NameIdentifierPolicy/SPNameQualifier' is not supported.
Trace ID: 0000aaaa-11bb-cccc-dd22-eeeeee333333
Timestamp: 2013-03-18 08:49:24Z</samlp:StatusMessage>
</samlp:Status>
</samlp:Response>
Aserción
Además de la ID, IssueInstant y Version, el identificador de Microsoft Entra establece los siguientes elementos en el elemento Assertion de la respuesta.
Emisor
Se establece en https://sts.windows.net/<TenantIDGUID>/donde <TenantIDGUID> es el identificador de inquilino del inquilino de Microsoft Entra.
<Issuer>https://sts.windows.net/aaaabbbb-0000-cccc-1111-dddd2222eeee/</Issuer>
Firma
Microsoft Entra ID firma la aserción en respuesta a un inicio de sesión correcto. El elemento Signature contiene una firma digital que el servicio en la nube puede usar para autenticar el origen para comprobar la integridad de la aserción.
Para generar esta firma digital, Microsoft Entra ID usa la clave de firma en el elemento IDPSSODescriptor de su documento de metadatos.
<SignatureValue xmlns:ds="https://www.w3.org/2000/09/xmldsig#">
digital_signature_here
</SignatureValue>
Asunto
Esto especifica el principio que es el asunto de las instrucciones de la aserción. Contiene un elemento NameID, que representa al usuario autenticado. El valor de NameID es un identificador de destino que se dirige solo al proveedor de servicios que es la audiencia del token. Es persistente: se puede revocar, pero nunca se reasigna. También es opaco, en que no revela nada sobre el usuario y no se puede usar como identificador para las consultas de atributo.
El atributo Method del elemento SubjectConfirmation siempre se establece en urn:oasis:names:tc:SAML:2.0:cm:bearer.
<Subject>
<NameID>Uz2Pqz1X7pxe4XLWxV9KJQ+n59d573SepSAkuYKSde8=</NameID>
<SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer">
<SubjectConfirmationData InResponseTo="id758d0ef385634593a77bdf7e632984b6" NotOnOrAfter="2013-03-18T07:43:15.144Z" Recipient="https://contoso.com/identity/inboundsso.aspx" />
</SubjectConfirmation>
</Subject>
Condiciones
Este elemento especifica las condiciones que definen el uso aceptable de aserciones de SAML.
<Conditions NotBefore="2013-03-18T07:38:15.128Z" NotOnOrAfter="2013-03-18T08:48:15.128Z">
<AudienceRestriction>
<Audience>https://www.contoso.com</Audience>
</AudienceRestriction>
</Conditions>
Los atributos NotBefore y NotOnOrAfter especifican el intervalo durante el cual la aserción es válida.
- El valor del atributo
NotBeforees igual o ligeramente (menor que un segundo) posterior al valor deIssueInstantatributo del elementoAssertion. Microsoft Entra ID no tiene en cuenta ninguna diferencia de tiempo entre sí y el servicio en la nube (proveedor de servicios) y no agrega ningún búfer a este momento. - El valor del atributo
NotOnOrAfteres 70 minutos más tarde que el valor del atributoNotBefore.
Audiencia
Contiene un URI que identifica una audiencia prevista. Microsoft Entra ID establece el valor de este elemento en el valor de Issuer elemento del AuthnRequest que inició el inicio de sesión. Para evaluar el valor de Audience, use el valor del App ID URI que se especificó durante el registro de la aplicación.
<AudienceRestriction>
<Audience>https://www.contoso.com</Audience>
</AudienceRestriction>
Al igual que el valor de Issuer, el valor de Audience debe coincidir exactamente con uno de los nombres de entidad de seguridad de servicio que representa el servicio en la nube en el identificador de Microsoft Entra. Sin embargo, si el valor del Issuer elemento no es un valor URI, el Audience valor de la respuesta es el valor con Issuerel spn: prefijo .
AttributeStatement
Esto contiene notificaciones sobre el asunto o el usuario. El fragmento siguiente contiene un elemento AttributeStatement de ejemplo. Los puntos suspensivos indican que el elemento puede incluir varios atributos y valores de atributo.
<AttributeStatement>
<Attribute Name="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name">
<AttributeValue>[email protected]</AttributeValue>
</Attribute>
<Attribute Name="http://schemas.microsoft.com/identity/claims/objectidentifier">
<AttributeValue>3F2504E0-4F89-11D3-9A0C-0305E82C3301</AttributeValue>
</Attribute>
...
</AttributeStatement>
-
de notificación de nombre: el valor del atributo
Name(http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name) es el nombre principal de usuario del usuario autenticado, como[email protected]. -
ObjectIdentifier Claim: el valor del atributo
ObjectIdentifier(http://schemas.microsoft.com/identity/claims/objectidentifier) es elObjectIddel objeto de directorio que representa al usuario autenticado en el identificador de Microsoft Entra.ObjectIdes un identificador seguro inmutable, globalmente único y reutilizado del usuario autenticado.
AuthnStatement
Este elemento afirma que el sujeto de aserción se autenticó mediante un medio determinado en un momento determinado.
- El atributo
AuthnInstantespecifica la hora en la que el usuario se autenticó con el identificador de Microsoft Entra. - El elemento
AuthnContextespecifica el contexto de autenticación que se usa para autenticar al usuario.
<AuthnStatement AuthnInstant="2013-03-18T07:33:56.000Z" SessionIndex="_bf9c623d-cc20-407a-9a59-c2d0aee84d12">
<AuthnContext>
<AuthnContextClassRef>urn:oasis:names:tc:SAML:2.0:ac:classes:Password</AuthnContextClassRef>
</AuthnContext>
</AuthnStatement>
El AuthnContextClassRef valor refleja el método que el usuario usó para autenticarse. Si el usuario se autentica con más de un método, el método más seguro se refleja en .AuthnContextClassRef En la tabla siguiente se enumeran los AuthnContextClassRef nombres de clase que Microsoft Entra ID envía para cada método de autenticación. El valor completo es urn:oasis:names:tc:SAML:2.0:ac:classes:<className>.
| Método de autenticación de Microsoft Entra |
AuthnContextClassRef nombre de clase |
Descripción |
|---|---|---|
| Password | Password |
El usuario se autenticó con un nombre de usuario y una contraseña. |
| Notificación push de Microsoft Authenticator |
MobileOneFactorUnregistered, o MobileTwoFactorContract cuando también se completa otro factor |
Aprobación de notificaciones push en Microsoft Authenticator. La clase de dos fases se envía cuando el método contribuye a MFA. |
| Microsoft Authenticator TOTP | TimeSyncToken |
Código de acceso de un solo uso (TOTP) basado en tiempo generado por Microsoft Authenticator. |
| Token OATH de hardware | TimeSyncToken |
Código de acceso de un solo uso basado en tiempo generado por un token OATH de hardware. |
| Inicio de sesión telefónico (autenticador sin contraseña) | MobileTwoFactorContract |
Inicio de sesión telefónico sin contraseña aprobado en Microsoft Authenticator. |
| SMS |
MobileOneFactorUnregistered, o MobileTwoFactorContract cuando también se completa otro factor |
Código de acceso de un solo uso entregado por mensaje de texto. |
| Llamada telefónica |
Telephony, o MobileTwoFactorContract cuando también se completa otro factor |
Aprobación a través de una llamada telefónica de voz. |
| Correo electrónico (Email) |
MobileOneFactorUnregistered, o MobileTwoFactorContract cuando también se completa otro factor |
Código de acceso de un solo uso entregado por correo electrónico. |
| Clave de seguridad FIDO2 (MFA resistente a suplantación de identidad) | SmartcardPKI |
Una clave de seguridad FIDO2, notificada como un certificado respaldado por tarjeta inteligente con una clave privada y un PIN. |
| Clave de acceso: enlazada al dispositivo (MFA resistente a suplantación de identidad) | SmartcardPKI |
Una clave de acceso enlazada al dispositivo. |
| Clave de paso: sincronizada | SoftwarePKI |
Una clave de acceso sincronizada, notificada como una credencial PKI basada en software. |
| Windows Hello para empresas (MFA resistente al phishing) | SmartcardPKI |
Windows Hello para empresas. |
| Autenticación basada en certificados (MFA resistente a suplantación de identidad) |
SmartcardPKI cuando se usa como MFA; X509 para CBA de factor único |
Autenticación basada en certificados (CBA). |
| Pase de acceso temporal (TAP) | Unspecified |
Un pase de acceso temporal. |
| autenticación integrada Windows (Kerberos) | Kerberos |
Windows autenticación integrada. |
| IdP federado (paso a través) | Se aplican reglas existentes | El valor pasa desde el proveedor de identidades federado. |
authnmethodreferences
Este elemento afirma que el sujeto de aserción se autenticó mediante un medio determinado en un momento determinado. Esto está disponible en la sección de notificaciones para que las aplicaciones consuman y comprueben que el sujeto ha realizado la autenticación mediante contraseña o mediante un método de autenticación más seguro, como MFA o passkeys.
- El
authnmethodsreferencesatributo especifica la forma en que el usuario se ha autenticado con el identificador de Microsoft Entra. - El
http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/passwordvalor de notificación especifica que el usuario ha realizado la autenticación de nombre de usuario y contraseña con Entra ID. - El
http://schemas.microsoft.com/claims/multipleauthnvalor de notificación especifica que el usuario ha realizado el nombre de usuario y la contraseña y también ha realizado la autenticación multifactor que da como resultado MFA.
<Attribute Name="http://schemas.microsoft.com/claims/authnmethodsreferences">
<AttributeValue>http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/password</AttributeValue>
<AttributeValue>http://schemas.microsoft.com/claims/multipleauthn</AttributeValue>
</Attribute>
En la tabla siguiente se enumeran los authnmethodsreferences valores que Microsoft Entra ID envía para cada método de autenticación. Cada valor se emite bajo el http://schemas.microsoft.com/ws/2008/06/identity/authenticationmethod/<value> espacio de nombres , excepto multipleauthn, que se emite como http://schemas.microsoft.com/claims/multipleauthn. El multipleauthn valor solo se incluye cuando el usuario completó la autenticación multifactor (MFA).
| Método de autenticación de Microsoft Entra |
authnmethodsreferences valor |
Descripción |
|---|---|---|
| Password | password |
El usuario se autenticó con un nombre de usuario y una contraseña. |
| Notificación push de Microsoft Authenticator |
rsa, además multipleauthn de cuando se completa MFA con otro factor |
Aprobación de notificaciones push en Microsoft Authenticator. |
| Microsoft Authenticator TOTP |
otp, además multipleauthn de cuando se completa MFA con otro factor |
Código de acceso de un solo uso basado en tiempo (TOTP) de Microsoft Authenticator. |
| Token OATH de hardware |
otp, además multipleauthn de cuando se completa MFA con otro factor |
Código de acceso de un solo uso desde un token OATH de hardware. |
| Inicio de sesión telefónico (autenticador sin contraseña) |
swk, multipleauthn |
Inicio de sesión telefónico sin contraseña, notificado como una clave de software. |
| SMS |
otp, además multipleauthn de cuando se completa MFA con otro factor |
Código de acceso de un solo uso entregado por mensaje de texto. |
| Llamada telefónica |
otp, además multipleauthn de cuando se completa MFA con otro factor |
Aprobación a través de una llamada telefónica de voz. |
| Correo electrónico (Email) |
otp, además multipleauthn de cuando se completa MFA con otro factor |
Código de acceso de un solo uso entregado por correo electrónico. |
| Clave de seguridad FIDO2 (MFA resistente a suplantación de identidad) |
fido, multipleauthn |
Una clave de seguridad FIDO2. |
| Clave de acceso: enlazada al dispositivo (MFA resistente a suplantación de identidad) |
fido, multipleauthn |
Una clave de acceso enlazada al dispositivo. |
| Clave de paso: sincronizada |
fido, multipleauthn |
Una clave de paso sincronizada. |
| Windows Hello para empresas (MFA resistente al phishing) |
hwk, multipleauthn |
Windows Hello para empresas, notificado como una clave enlazada a hardware. |
| Autenticación basada en certificados (MFA resistente a suplantación de identidad) |
x509, además multipleauthn (valor predeterminado para CBA multifactor o cuando MFA se completa con otro factor para CBA de un solo factor) |
Autenticación basada en certificados. |
| Pase de acceso temporal (TAP) |
otp, multipleauthn |
Un pase de acceso temporal. |
| autenticación integrada Windows (Kerberos) | wia |
Windows autenticación integrada. |
| IdP federado (paso a través) | Se aplican reglas existentes | El valor pasa desde el proveedor de identidades federado. |
Nota
La amr notificación se envía de forma predeterminada para las aplicaciones de Salesforce, por lo que no se requiere ningún cambio de configuración para esas aplicaciones. Para todas las demás aplicaciones SAML, el administrador de aplicaciones debe agregar la notificación opcional amr con la include_granular_amr propiedad adicional al registro de la aplicación para solicitar notificaciones de AMR. Los multipleauthn valores y mfa solo se emiten cuando el usuario ha completado MFA.
Nota
Microsoft Entra ID está implementando valores de AMR más granulares que reemplazan otp para tokens SAML y OIDC v2.0: Microsoft Authenticator TOTP envía , el token OATH de hardware envía totphotp, sms envía sms, envía , envía un telcorreo electrónico oTP envía emailotpy el pase de acceso temporal envía tap.