Autenticación de paso a través de Azure Active Directory: Inmersión técnica profunda

En este artículo se ofrece información general sobre el funcionamiento de la autenticación de paso a través de Azure Active Directory (Azure AD). Si desea información técnica y de seguridad detallada, consulte el artículo Análisis a fondo de la seguridad.

Funcionamiento de la autenticación de paso a través de Azure Active Directory

Nota:

Como requisito previo para el funcionamiento de la autenticación de paso a través, los usuarios deben aprovisionarse en Azure AD desde Active Directory local mediante Azure AD Connect. La autenticación de paso a través no se aplica a los usuarios que están solo en la nube.

Cuando un usuario intenta iniciar sesión en una aplicación protegida mediante Azure AD, y si la autenticación de paso a través está habilitada en el inquilino, se producen los pasos siguientes:

  1. Un usuario intenta acceder a una aplicación (por ejemplo, Outlook Web App).
  2. Si el usuario todavía no ha iniciado sesión, se le redirige a la página Inicio de sesión de usuario de Azure AD.
  3. El usuario escribe su nombre de usuario en la página de inicio de sesión de Azure AD y después selecciona el botón Siguiente.
  4. El usuario escribe su contraseña en la página de inicio de sesión de Azure AD y después selecciona el botón Inicio de sesión.
  5. Cuando Azure AD recibe la solicitud de inicio de sesión, pone el nombre de usuario y la contraseña (cifrada mediante la clave pública de los agentes de autenticación) en una cola.
  6. Un agente de autenticación local recupera el nombre de usuario y la contraseña cifrada de la cola. Tenga en cuenta que el agente no sondea con frecuencia las solicitudes de la cola, sino que recupera las solicitudes a través de una conexión persistente establecida previamente.
  7. El agente descifra la contraseña con su clave privada.
  8. El agente valida el nombre de usuario y la contraseña en Active Directory mediante las API de Windows, que es un mecanismo similar al que se usa en Servicios de federación de Active Directory (AD FS). El nombre de usuario puede ser el nombre de usuario predeterminado local (normalmente, userPrincipalName) u otro atributo (conocido como Alternate ID) configurado en Azure AD Connect.
  9. El controlador de dominio (DC) de Active Directory local evalúa la solicitud y devuelve la respuesta adecuada (correcto, error, contraseña expirada o bloqueo de usuario) al agente.
  10. El agente de autenticación, a su vez, devuelve esta respuesta a Azure AD.
  11. Azure AD evalúa la respuesta y responde al usuario según corresponda. Por ejemplo, Azure AD inicia la sesión del usuario inmediatamente o envía una solicitud a Azure AD Multi-Factor Authentication.
  12. Si el inicio de sesión del usuario se realiza correctamente, el usuario puede acceder a la aplicación.

En el diagrama siguiente se ilustran todos los componentes y los pasos implicados:

Pass-through Authentication

Pasos siguientes