Share via

Akses menyeluruh Tanpa Hambatan Microsoft Entra: Penyelaman mendalam teknis

  • Artikel

Artikel ini memberi Anda detail teknis tentang cara kerja fitur akses menyeluruh (SSO Tanpa Hambatan) Microsoft Entra.

Bagaimana cara kerja Akses Menyeluruh Tanpa Hambatan?

Bagian ini memiliki tiga bagian untuk itu:

  1. Penyiapan fitur Akses Menyeluruh Tanpa Hambatan.
  2. Cara kerja satu pengguna dalam transaksi masuk di browser web dengan Akses Menyeluruh Tanpa Hambatan.
  3. Cara kerja satu pengguna dalam transaksi klien asli dengan Akses Menyeluruh Tanpa Hambatan.

Bagaimana penyiapannya?

SSO Tanpa Hambatan diaktifkan menggunakan Microsoft Entra Koneksi seperti yang ditunjukkan di sini. Saat mengaktifkan fitur, langkah-langkah berikut terjadi:

  • Akun komputer (AZUREADSSOACC) dibuat di Active Directory lokal (AD) Anda di setiap forest AD yang Anda sinkronkan ke ID Microsoft Entra (menggunakan Microsoft Entra Koneksi).
  • Selain itu, sejumlah nama prinsipal layanan (SPN) Kerberos dibuat untuk digunakan selama proses masuk Microsoft Entra.
  • Kunci dekripsi Kerberos akun komputer dibagikan dengan aman dengan ID Microsoft Entra. Jika ada beberapa hutan AD, setiap akun komputer akan memiliki kunci dekripsi Kerberos yang unik.

Penting

Akun komputer AZUREADSSOACC perlu dilindungi dengan kuat karena alasan keamanan. Hanya Admin Domain yang dapat mengelola akun komputer. Pastikan bahwa delegasi Kerberos pada akun komputer dinonaktifkan, dan tidak ada akun lain di Direktori Aktif yang memiliki izin delegasi pada akun komputer AZUREADSSOACC. Simpan akun komputer di Unit Organisasi (OU) tempat yang aman dari penghapusan yang tidak disengaja dan hanya Admin Domain yang memiliki akses. Kunci dekripsi Kerberos pada akun komputer juga harus diperlakukan sensitif. Sebaiknya Anda menggulirkan kunci dekripsi Kerberos akun komputer AZUREADSSOACC setidaknya setiap 30 hari.

Penting

Seamless SSO mendukung jenis enkripsi AES256_HMAC_SHA1, AES128_HMAC_SHA1, dan RC4_HMAC_MD5 untuk Kerberos. Sebaiknya jenis enkripsi untuk akun AzureADSSOAcc$ diatur ke AES256_HMAC_SHA1, atau salah satu jenis AES vs. RC4 untuk keamanan tambahan. Jenis enkripsi disimpan pada atribut msDS-SupportedEncryptionTypes dari akun di Active Directory Anda. Jika jenis enkripsi akun AzureADSSOAcc$ diatur ke RC4_HMAC_MD5, dan Anda ingin mengubahnya ke salah satu jenis enkripsi AES, pastikan Anda terlebih dahulu memutar kunci dekripsi Kerberos dari akun AzureADSSOAcc$ seperti yang dijelaskan dalam dokumen FAQ pada pertanyaan yang relevan. Jika tidak, Seamless SSO tidak akan terjadi.

Setelah penyetelan selesai, Seamless SSO berfungsi dengan cara yang sama seperti rincian masuk lainnya yang menggunakan autentikasi Windows terintegrasi (IWA).

Bagaimana cara masuk di browser web dengan Akses Menyeluruh Bebas Hambatan berfungsi?

Alur masuk di browser web adalah sebagai berikut:

  1. Pengguna mencoba mengakses aplikasi web (misalnya, Outlook Web App - https://outlook.office365.com/owa/) dari perangkat perusahaan yang bergabung dengan domain di dalam jaringan perusahaan Anda.

  2. Jika pengguna belum masuk, pengguna akan diarahkan ke halaman masuk Microsoft Entra.

  3. Jenis pengguna di nama pengguna mereka ke halaman masuk Microsoft Entra.

    Catatan

    Untuk aplikasi tertentu, langkah 2 & 3 dilewati.

  4. Menggunakan JavaScript di latar belakang, MICROSOFT Entra ID menantang browser, melalui respons 401 Tidak Sah, untuk memberikan tiket Kerberos.

  5. Browser, pada gilirannya, meminta tiket dari Direktori Aktif untuk AZUREADSSOACC akun komputer (yang mewakili ID Microsoft Entra).

  6. Active Directory menemukan akun komputer dan mengembalikan tiket Kerberos ke browser yang dienkripsi dengan rahasia akun komputer.

  7. Browser meneruskan tiket Kerberos yang diperolehnya dari Direktori Aktif ke ID Microsoft Entra.

  8. ID Microsoft Entra mendekripsi tiket Kerberos, yang mencakup identitas pengguna yang masuk ke perangkat perusahaan, menggunakan kunci yang dibagikan sebelumnya.

  9. Setelah evaluasi, MICROSOFT Entra ID mengembalikan token kembali ke aplikasi atau meminta pengguna untuk melakukan bukti tambahan, seperti Autentikasi Multifaktor.

  10. Jika masuk pengguna berhasil, pengguna tersebut dapat mengakses aplikasi.

Diagram berikut ini mengilustrasikan semua komponen dan langkah-langkah yang terlibat.

Seamless Single Sign On - Web app flow

Akses Menyeluruh Tanpa Hambatan oportunistik, yang berarti jika gagal, pengalaman masuk kembali ke perilaku regulernya - yaitu, pengguna perlu memasukkan kata sandi mereka untuk masuk.

Bagaimana cara masuk klien asli dengan Akses Menyeluruh Bebas Hambatan bekerja?

Alur masuk pada klien asli adalah sebagai berikut:

  1. Pengguna mencoba mengakses aplikasi asli (misalnya, klien Outlook) dari perangkat perusahaan yang bergabung dengan domain di dalam jaringan perusahaan Anda.
  2. Jika pengguna belum masuk, aplikasi asli mengambil nama pengguna dari sesi Windows perangkat.
  3. Aplikasi mengirimkan nama pengguna ke ID Microsoft Entra, dan mengambil titik akhir WS-Trust MEX penyewa Anda. Titik akhir WS-Trust ini digunakan secara eksklusif oleh fitur SSO Tanpa Hambatan, dan bukan implementasi umum protokol WS-Trust pada ID Microsoft Entra.
  4. Aplikasi selanjutnya meminta titik akhir WS-Trust MEX untuk melihat apakah titik akhir autentikasi terintegrasi tersedia. Titik akhir autentikasi terintegrasi digunakan secara eksklusif oleh fitur Akses Menyeluruh Bebas Hambatan.
  5. Jika langkah 4 berhasil, tantangan Kerberos dikeluarkan.
  6. Jika aplikasi dapat mengambil tiket Kerberos, aplikasi akan meneruskannya ke titik akhir autentikasi terintegrasi Microsoft Entra.
  7. MICROSOFT Entra ID mendekripsi tiket Kerberos dan memvalidasinya.
  8. MICROSOFT Entra ID memasukkan pengguna, dan mengeluarkan token SAML ke aplikasi.
  9. Aplikasi kemudian mengirimkan token SAML ke titik akhir token Microsoft Entra ID OAuth2.
  10. MICROSOFT Entra ID memvalidasi token SAML, dan masalah pada aplikasi token akses dan token refresh untuk sumber daya yang ditentukan, dan token id.
  11. Pengguna mendapatkan akses ke sumber daya aplikasi.

Diagram berikut ini mengilustrasikan semua komponen dan langkah-langkah yang terlibat.

Seamless Single Sign On - Native app flow

Langkah berikutnya

  • Mulai Cepat - Memulai dan menjalankan SSO Tanpa Hambatan Microsoft Entra.
  • Tanya Jawab Umum - Jawaban atas tanya jawab umum.
  • Pemecahan masalah - Pelajari cara mengatasi masalah umum dengan fitur ini.
  • UserVoice - Untuk mengajukan permintaan fitur baru.