Microsoft Entra 直通身份验证:技术深入探讨
本文概述了 Microsoft Entra 直通身份验证的工作原理。 有关深入的技术和安全信息,请参阅深入了解安全性一文。
Microsoft Entra 直通身份验证的工作原理是什么?
注意
作为使直通身份验证正常工作的先决条件,需要使用 Microsoft Entra Connect 从本地 Active Directory 将用户预配到 Microsoft Entra ID。 直通身份验证不适用于仅限云的用户。
当用户尝试登录到由 Microsoft Entra ID 保护的应用程序时,如果已在租户中启用直通身份验证,会发生以下情况:
- 用户尝试访问某个应用程序,例如 Outlook Web 应用。
- 如果用户尚未登录,则会被重定向到 Microsoft Entra ID“用户登录”页。
- 用户在 Microsoft Entra 登录页中输入其用户名,然后选择“下一步”按钮。
- 用户在 Microsoft Entra 登录页中输入其密码,然后选择“登录”按钮。
- 收到登录请求后,Microsoft Entra ID 将该用户名和密码(已使用身份验证代理的公钥加密)排入队列。
- 本地身份验证代理从队列中检索用户名和已加密的密码。 请注意,代理不会频繁地从队列中轮询请求,但会通过预先建立的持久性连接检索请求。
- 代理使用其私钥解密密码。
- 代理使用标准 Windows API(类似于 Active Directory 联合身份验证服务 (AD FS) 使用的机制)针对 Active Directory 验证该用户名和密码。 用户名可以是本地默认用户名(通常为
userPrincipalName),也可以是在 Microsoft Entra Connect 中配置的另一个属性(称为Alternate ID)。 - 本地 Active Directory 域控制器 (DC) 将评估请求并向代理返回适当的响应(成功、失败、密码过期或用户被锁定)。
- 身份验证代理转而将此响应返回给 Microsoft Entra ID。
- Microsoft Entra ID 评估响应,并相应地向用户提供响应。 例如,Microsoft Entra ID 会立即让用户登录或请求 Microsoft Entra 多重身份验证。
- 如果用户登录成功,则该用户可以访问应用程序。
下图说明了所涉及的所有组件和步骤:
后续步骤
- 当前限制:了解支持和不支持的方案。
- 快速入门:在 Microsoft Entra 直通身份验证上启动和运行。
- 将应用迁移到 Microsoft Entra ID:帮助你将应用程序访问和身份验证迁移到 Microsoft Entra ID 的资源。
- 智能锁定:在租户中配置智能锁定功能以保护用户帐户。
- 常见问题:查找常见问题的解答。
- 故障诊断:了解如何解决直通身份验证功能的常见问题。
- 深入了解安全性:深入了解有关直通身份验证功能的技术信息。
- Microsoft Entra 混合加入:在租户上配置 Microsoft Entra 混合加入功能,以实现跨云和本地资源的 SSO。
- Microsoft Entra 无缝 SSO:详细了解此补充功能。
- UserVoice:使用 Microsoft Entra 论坛来提交新的功能请求。