Сквозная аутентификация Azure Active Directory — подробное техническое руководство

Эта статья содержит обзор принципов работы сквозной аутентификации Azure Active Directory (Azure AD). Подробные технические сведения и информацию о безопасности см. в руководстве по безопасности.

Как работает сквозная аутентификация Azure Active Directory?

Примечание

В качестве предварительного требования для сквозной проверки подлинности пользователей необходимо подготовить для Azure AD в локальной службе Active Directory с помощью Azure AD Connect. Сквозная проверка подлинности не применяется к исключительно облачным пользователям.

Когда пользователь пытается войти в приложение, защищенное с помощью Azure AD, и на клиенте включена сквозная аутентификация, выполняются следующие действия.

  1. Пользователь пытается получить доступ к приложению, например Outlook Web App.
  2. Если пользователь еще не выполнил вход, он перенаправляется на страницу Вход пользователя Azure AD.
  3. Пользователь вводит имя пользователя на странице входа Azure AD и нажимает кнопку Далее.
  4. Пользователь вводит пароль на странице входа Azure AD и нажимает кнопку Войти.
  5. Служба Azure AD, получив запрос на вход, помещает имя пользователя и пароль (зашифрованный с помощью открытого ключа или агентов аутентификации) в очередь.
  6. Локальный агент проверки подлинности получает имя пользователя и зашифрованный пароль из очереди. Обратите внимание, что агент не часто опрашивает запросы из очереди, но извлекает запросы через готовое постоянное подключение.
  7. Агент расшифровывает пароль, используя свой закрытый ключ.
  8. Затем агент проверяет имя пользователя и пароль в Active Directory, используя стандартные интерфейсы API Windows (механизм, похожий на используемый службами федерации Active Directory (AD FS)). Именем пользователя может быть либо локальное имя пользователя по умолчанию (обычно это userPrincipalName), либо другой атрибут (известный как Alternate ID), настроенный в Azure AD Connect.
  9. Локальный контроллер домена Active Directory анализирует запрос и возвращает агенту соответствующий ответ ("успешно", "ошибка", "срок действия пароля истек" или "пользователь заблокирован").
  10. Агент проверки подлинности, в свою очередь, возвращает этот ответ в Azure AD.
  11. Azure AD оценивает этот ответ и соответствующим образом отвечает пользователю. Например, Azure Active Directory может сразу выполнить вход пользователя либо запросить многофакторную идентификацию Azure AD.
  12. После успешного входа в систему пользователь может получить доступ к приложению.

На схеме ниже показаны все соответствующие компоненты и шаги.

Pass-through Authentication

Дальнейшие действия