Passthrough-Authentifizierung mit Azure Active Directory: Technische Einzelheiten

Dieser Artikel enthält eine Übersicht über die Funktionsweise der Passthrough-Authentifizierung mit Azure Active Directory (Azure AD). Ausführliche technische und sicherheitsbezogene Informationen finden Sie im Artikel Azure Active Directory-Passthrough-Authentifizierung – ausführliche Informationen zur Sicherheit.

Funktionsweise der Passthrough-Authentifizierung mit Azure Active Directory

Hinweis

Damit die Passthrough-Authentifizierung funktioniert, müssen Benutzer über eine lokale Active Directory-Instanz mithilfe von Azure AD Connect in Azure AD bereitgestellt werden. Die Passthrough-Authentifizierung gilt nicht für Benutzer, die auf die Cloud beschränkt sind.

Wenn ein Benutzer versucht, sich bei einer durch Azure AD gesicherten Anwendung anzumelden und die Passthrough-Authentifizierung im Mandanten aktiviert ist, geschieht Folgendes:

1. Der Benutzer versucht, auf eine Anwendung zuzugreifen (z.B. Outlook-Web-App).
2. Wenn der Benutzer nicht bereits angemeldet ist, wird der Benutzer zur Azure AD-Seite Benutzeranmeldung umgeleitet.
3. Der Benutzer bzw. die Benutzerin gibt auf der Azure AD-Anmeldeseite seinen bzw. ihren Benutzernamen ein und wählt anschließend die Schaltfläche Weiter aus.
4. Der Benutzer bzw. die Benutzerin gibt auf der Azure AD-Anmeldeseite das Kennwort ein und wählt anschließend die Schaltfläche Anmelden aus.
5. Nach dem Empfang der Anmeldeanforderung speichert Azure AD den Benutzernamen und das (mit dem öffentlichen Schlüssel der Authentifizierungs-Agents verschlüsselte) Kennwort in einer Warteschlange.
6. Ein lokaler Authentifizierungs-Agent ruft den Benutzernamen und das verschlüsselte Kennwort aus der Warteschlange ab. Beachten Sie, dass der Agent die Warteschlange nicht häufig auf Anforderungen überprüft, sondern Anforderungen über eine eingerichtete dauerhafte Verbindung abruft.
7. Der Agent entschlüsselt das Kennwort mithilfe des privaten Schlüssels.
8. Der Agent überprüft dann mithilfe von Standard-Windows-APIs den Benutzernamen und das Kennwort in Active Directory (ein ähnlicher Mechanismus wie bei den Active Directory-Verbunddiensten (AD FS)). Beim Benutzernamen kann es sich entweder um den lokalen Standardbenutzernamen (in der Regel userPrincipalName) handeln oder um ein anderes (als Alternate ID bezeichnetes) Attribut, das in Azure AD Connect konfiguriert ist.
9. Der lokale Active Directory-Domänencontroller (DC) wertet die Anforderung aus und gibt die entsprechende Antwort (Erfolg, Fehler, Kennwort abgelaufen oder Benutzer gesperrt) an den Agenten zurück.
10. Der Authentifizierungs-Agent gibt diese Antwort wiederum an Azure AD zurück.
11. Azure AD wertet die Antwort aus und gibt eine entsprechende Antwort an den Benutzer zurück. Beispiel: Azure AD meldet den Benutzer sofort an oder verlangt Azure AD Multi-Factor Authentication.
12. Wenn die Anmeldung erfolgreich ist, kann der Benutzer auf die Anwendung zugreifen.

Das folgende Diagramm veranschaulicht die dafür notwendigen Schritte und Komponenten:

Nächste Schritte

• Aktuelle Einschränkungen: Informationen zu den unterstützten und nicht unterstützten Szenarien
• Schnellstart: Aktivieren und Ausführen der Passthrough-Authentifizierung von Azure AD
• Migrieren von Apps zu Azure AD: Ressourcen, die Ihnen beim Migrieren des Anwendungszugriffs und der Authentifizierung zu Azure AD helfen.
• Smart Lockout: Konfigurieren der Smart Lockout-Funktion für Ihren Mandanten, um Benutzerkonten zu schützen
• Häufig gestellte Fragen: Antworten auf häufig gestellte Fragen
• Problembehandlung: Informationen zum Beheben von allgemeinen Problemen, die bei der Passthrough-Authentifizierung auftreten können
• Ausführliche Informationen zur Sicherheit: Technische Informationen zur Passthrough-Authentifizierung
• Azure AD Hybrid Join: Konfigurieren Sie Azure AD Hybrid Join auf Ihrem Mandanten für einmaliges Anmelden bei Ihren cloudbasierten und lokalen Ressourcen.    
• Nahtloses einmaliges Anmelden mit Azure AD: Erfahren Sie mehr über diese Ergänzungsfunktion.
• UserVoice: Fordern Sie neue Features über das Azure Active Directory-Forum an.