Partilhar via


Autenticação de passagem do Microsoft Entra: Aprofundamento técnico

Este artigo é uma visão geral de como funciona a autenticação de passagem do Microsoft Entra. Para obter informações técnicas e de segurança detalhadas, consulte o artigo Aprofundamento em segurança.

Como funciona a autenticação de passagem do Microsoft Entra?

Nota

Como pré-requisito para que a Autenticação de Passagem funcione, os usuários precisam ser provisionados no ID do Microsoft Entra a partir do Ative Directory local usando o Microsoft Entra Connect. A Autenticação de Passagem não se aplica a utilizadores apenas na nuvem.

Quando um usuário tenta entrar em um aplicativo protegido pela ID do Microsoft Entra e se a Autenticação de Passagem estiver habilitada no locatário, as seguintes etapas ocorrerão:

  1. O usuário tenta acessar um aplicativo, por exemplo, o Outlook Web App.
  2. Se o usuário ainda não estiver conectado, ele será redirecionado para a página de entrada do usuário do Microsoft Entra ID.
  3. O usuário insere seu nome de usuário na página de entrada do Microsoft Entra e seleciona o botão Avançar .
  4. O utilizador introduz a sua palavra-passe na página de início de sessão do Microsoft Entra e, em seguida, seleciona o botão Iniciar sessão.
  5. O Microsoft Entra ID, ao receber a solicitação para entrar, coloca o nome de usuário e a senha (criptografados usando a chave pública dos Agentes de Autenticação) em uma fila.
  6. Um Agente de Autenticação local recupera o nome de usuário e a senha criptografada da fila. Observe que o Agente não pesquisa frequentemente solicitações da fila, mas recupera solicitações em uma conexão persistente pré-estabelecida.
  7. O agente descriptografa a senha usando sua chave privada.
  8. O agente valida o nome de usuário e a senha em relação ao Ative Directory usando APIs padrão do Windows, que é um mecanismo semelhante ao que os Serviços de Federação do Ative Directory (AD FS) usam. O nome de usuário pode ser o nome de usuário padrão local, geralmente userPrincipalName, ou outro atributo configurado no Microsoft Entra Connect (conhecido como Alternate ID).
  9. O controlador de domínio (DC) do Ative Directory local avalia a solicitação e retorna a resposta apropriada (êxito, falha, senha expirada ou usuário bloqueado) para o agente.
  10. O Agente de Autenticação, por sua vez, retorna essa resposta de volta para o ID do Microsoft Entra.
  11. O Microsoft Entra ID avalia a resposta e responde ao usuário conforme apropriado. Por exemplo, o ID do Microsoft Entra imediatamente no usuário ou solicita a autenticação multifator do Microsoft Entra.
  12. Se o login do usuário for bem-sucedido, o usuário poderá acessar o aplicativo.

O diagrama a seguir ilustra todos os componentes e as etapas envolvidas:

Pass-through Authentication

Próximos passos