Поделиться через


Сквозная проверка подлинности Microsoft Entra: техническое глубокое погружение

В этой статье представлен обзор работы сквозной проверки подлинности Microsoft Entra. Подробные технические сведения и информацию о безопасности см. в руководстве по безопасности.

Как работает сквозная проверка подлинности Microsoft Entra?

Примечание.

В качестве предварительных требований для сквозной проверки подлинности пользователям необходимо подготовить идентификатор Microsoft Entra из локальная служба Active Directory с помощью Microsoft Entra Подключение. Сквозная проверка подлинности не применяется к исключительно облачным пользователям.

Когда пользователь пытается войти в приложение, защищенное идентификатором Microsoft Entra ID, и если в клиенте включена сквозная проверка подлинности, выполните следующие действия.

  1. Пользователь пытается получить доступ к приложению, например Outlook Web App.
  2. Если пользователь еще не вошел в систему, пользователь перенаправляется на страницу входа пользователя Microsoft Entra ID.
  3. Пользователь вводит имя пользователя на страницу входа в Microsoft Entra, а затем нажмите кнопку "Далее ".
  4. Пользователь вводит пароль на страницу входа в Microsoft Entra, а затем нажимает кнопку входа .
  5. Идентификатор Microsoft Entra при получении запроса на вход помещает имя пользователя и пароль (зашифрованный с помощью открытого ключа агентов проверки подлинности) в очереди.
  6. Локальный агент проверки подлинности получает имя пользователя и зашифрованный пароль из очереди. Обратите внимание, что агент не часто опрашивает запросы из очереди, но извлекает запросы через готовое постоянное подключение.
  7. Агент расшифровывает пароль, используя свой закрытый ключ.
  8. Затем агент проверяет имя пользователя и пароль в Active Directory, используя стандартные интерфейсы API Windows (механизм, похожий на используемый службами федерации Active Directory (AD FS)). Имя пользователя может быть локальным именем пользователя по умолчанию, обычно userPrincipalNameили другим атрибутом, настроенным в Microsoft Entra Подключение (известном как Alternate ID).
  9. Локальный контроллер домена Active Directory анализирует запрос и возвращает агенту соответствующий ответ ("успешно", "ошибка", "срок действия пароля истек" или "пользователь заблокирован").
  10. Агент проверки подлинности, в свою очередь, возвращает этот ответ в идентификатор Microsoft Entra.
  11. Идентификатор Microsoft Entra оценивает ответ и отвечает пользователю соответствующим образом. Например, идентификатор Microsoft Entra либо подписывает пользователя немедленно, либо запрашивает многофакторную проверку подлинности Microsoft Entra.
  12. После успешного входа в систему пользователь может получить доступ к приложению.

На схеме ниже показаны все соответствующие компоненты и шаги.

Pass-through Authentication

Следующие шаги