Passthrough-Authentifizierung mit Azure Active Directory: Technische Einzelheiten

Dieser Artikel enthält eine Übersicht über die Funktionsweise der Passthrough-Authentifizierung mit Azure Active Directory (Azure AD). Ausführliche technische und sicherheitsbezogene Informationen finden Sie im Artikel Azure Active Directory-Passthrough-Authentifizierung – ausführliche Informationen zur Sicherheit.

Funktionsweise der Passthrough-Authentifizierung mit Azure Active Directory

Hinweis

Damit die Passthrough-Authentifizierung funktioniert, müssen Benutzer über eine lokale Active Directory-Instanz mithilfe von Azure AD Connect in Azure AD bereitgestellt werden. Die Passthrough-Authentifizierung gilt nicht für Benutzer, die auf die Cloud beschränkt sind.

Wenn ein Benutzer versucht, sich bei einer durch Azure AD gesicherten Anwendung anzumelden und die Passthrough-Authentifizierung im Mandanten aktiviert ist, geschieht Folgendes:

  1. Der Benutzer versucht, auf eine Anwendung zuzugreifen (z.B. Outlook-Web-App).
  2. Wenn der Benutzer nicht bereits angemeldet ist, wird der Benutzer zur Azure AD-Seite Benutzeranmeldung umgeleitet.
  3. Der Benutzer gibt auf der Azure AD-Anmeldeseite seinen Benutzernamen ein und wählt anschließend die Schaltfläche Weiter aus.
  4. Der Benutzer gibt auf der Azure AD-Anmeldeseite sein Kennwort ein und wählt anschließend die Schaltfläche Anmelden aus.
  5. Nach dem Empfang der Anmeldeanforderung speichert Azure AD den Benutzernamen und das (mit dem öffentlichen Schlüssel der Authentifizierungs-Agents verschlüsselte) Kennwort in einer Warteschlange.
  6. Ein lokaler Authentifizierungs-Agent ruft den Benutzernamen und das verschlüsselte Kennwort aus der Warteschlange ab. Beachten Sie, dass der Agent die Warteschlange nicht häufig auf Anforderungen überprüft, sondern Anforderungen über eine eingerichtete dauerhafte Verbindung abruft.
  7. Der Agent entschlüsselt das Kennwort mithilfe des privaten Schlüssels.
  8. Der Agent überprüft dann mithilfe von Standard-Windows-APIs den Benutzernamen und das Kennwort in Active Directory (ein ähnlicher Mechanismus wie bei den Active Directory-Verbunddiensten (AD FS)). Beim Benutzernamen kann es sich entweder um den lokalen Standardbenutzernamen (in der Regel userPrincipalName) handeln oder um ein anderes (als Alternate ID bezeichnetes) Attribut, das in Azure AD Connect konfiguriert ist.
  9. Der lokale Active Directory-Domänencontroller (DC) wertet die Anforderung aus und gibt die entsprechende Antwort (Erfolg, Fehler, Kennwort abgelaufen oder Benutzer gesperrt) an den Agenten zurück.
  10. Der Authentifizierungs-Agent gibt diese Antwort wiederum an Azure AD zurück.
  11. Azure AD wertet die Antwort aus und gibt eine entsprechende Antwort an den Benutzer zurück. Beispiel: Azure AD meldet den Benutzer sofort an oder verlangt Azure AD Multi-Factor Authentication.
  12. Wenn die Anmeldung erfolgreich ist, kann der Benutzer auf die Anwendung zugreifen.

Das folgende Diagramm veranschaulicht die dafür notwendigen Schritte und Komponenten:

Passthrough-Authentifizierung

Nächste Schritte