Partage via


Pass-through Microsoft Entra : analyse technique approfondie

Cet article est une présentation du fonctionnement de pass-through Microsoft Entra. Pour en savoir plus sur la sécurité et accéder à d’autres détails techniques, consultez l’article Présentation approfondie des fonctions de sécurité.

Comment fonctionne pass-through Microsoft Entra ?

Remarque

Comme condition préalable au fonctionnement de pass-through, les utilisateurs doivent être configurés dans Microsoft Entra ID à partir d'Active Directory sur site à l'aide de Microsoft Entra Connect. La fonctionnalité Authentification directe ne s’applique pas aux utilisateurs « cloud uniquement ».

Lorsqu'un utilisateur tente de se connecter à une application sécurisée par Microsoft Entra ID et si le pass-through est activé sur le locataire, les étapes suivantes se produisent :

  1. L'utilisateur tente d’accéder à une application, par exemple, Outlook Web App.
  2. Si l'utilisateur n'est pas déjà connecté, il est redirigé vers la page de connexion de l'utilisateur Microsoft Entra ID.
  3. L'utilisateur saisit son nom d'utilisateur sur la page de connexion Microsoft Entra, puis sélectionne le bouton Suivant.
  4. L'utilisateur saisit son mot de passe sur la page de connexion Microsoft Entra, puis sélectionne le bouton Connexion.
  5. Microsoft Entra ID, dès réception de la requête de connexion, place le nom d'utilisateur et le mot de passe (chiffrés à l'aide de la clé publique des agents d'authentification) dans une file d'attente.
  6. Un agent d’authentification local récupère le nom d’utilisateur et le mot de passe chiffré à partir de la file d’attente. Notez que l’agent n’interroge pas fréquemment les requêtes à partir de la file d’attente, mais qu’il les récupère via une connexion permanente établie au préalable.
  7. L’agent déchiffre le mot de passe à l’aide de sa clé privée.
  8. L’agent valide le nom d’utilisateur et le mot de passe par rapport à votre annuaire Active Directory à l’aide des API Windows standard, un mécanisme similaire à celui utilisé par les services de fédération Active Directory (AD FS). Le nom d'utilisateur peut être soit le nom d'utilisateur par défaut sur site, généralement userPrincipalName, soit un autre attribut configuré dans Microsoft Entra Connect (appelé Alternate ID).
  9. Le contrôleur de domaine Active Directory sur site évalue la demande et retourne la réponse appropriée (succès, échec, mot de passe expiré ou utilisateur verrouillé) à l’agent.
  10. L’agent d’authentification renvoie à son tour cette réponse à Microsoft Entra ID.
  11. Microsoft Entra ID évalue la réponse et répond à l'utilisateur de manière appropriée. Par exemple, Microsoft Entra ID connecte immédiatement l'utilisateur ou requête une authentification multifacteur Microsoft Entra.
  12. Si l’utilisateur parvient à se connecter, il peut accéder à l’application.

Le schéma suivant illustre tous les composants et les étapes impliquées dans ce processus :

Pass-through Authentication

Étapes suivantes