分享方式:


Microsoft Entra 傳遞驗證:技術深入探討

本文是 Microsoft Entra 傳遞驗證運作方式的概觀。 如需深層技術和安全性資訊,請參閱安全性深入探討一文。

Microsoft Entra 傳遞驗證如何運作?

注意

若要讓傳遞驗證能運作,必須先使用 Microsoft Entra Connect 將使用者從內部部署 Active Directory 佈建到 Microsoft Entra ID。 傳遞驗證不適用於僅使用雲端的使用者。

當使用者嘗試登入 Microsoft Entra ID 所保護的應用程式,並且在租用戶上啟用傳遞驗證時,便會執行下列步驟:

  1. 使用者嘗試存取應用程式,例如 Outlook Web App
  2. 如果使用者尚未登入,即會將使用者重新導向 Microsoft Entra ID [使用者登入] 頁面。
  3. 使用者在 Microsoft Entra 登入頁面中輸入其使用者名稱,然後選取 [下一步] 按鈕。
  4. 使用者將其密碼輸入 Microsoft Entra 登入頁面中,然後選取 [登入] 按鈕。
  5. 接收登入要求時,Microsoft Entra ID 會將使用者名稱和密碼 (使用驗證代理程式的公開金鑰加密) 置於佇列。
  6. 內部部署驗證代理程式會從佇列中擷取使用者名稱和加密的密碼。 請注意,代理程式不會經常輪詢佇列中的要求,而是會透過預先建立的持續連線來擷取要求。
  7. 代理程式會使用其私密金鑰將密碼解密。
  8. 代理程式會使用標準 Windows API 向 Active Directory 驗證使用者名稱和密碼,類似於 Active Directory 同盟服務 (AD FS) 所使用的機制。 使用者名稱可以是內部部署的預設使用者名稱 (通常是 userPrincipalName),或可在 Microsoft Entra Connect 中設定的另一個屬性 (又稱為 Alternate ID)。
  9. 內部部署 Active Directory 網域控制站 (DC) 會評估要求,並將適當的回應 (成功、失敗、密碼過期或鎖定使用者) 傳回給代理程式。
  10. 因此,驗證代理程式會將此回應傳回給 Microsoft Entra ID。
  11. Microsoft Entra ID 會評估回應,並視情況回應使用者。 例如,Microsoft Entra ID 會立即將使用者登入,或要求 Microsoft Entra 多重要素驗證。
  12. 如果使用者登入成功,使用者即可存取應用程式。

下圖說明所有元件和相關步驟:

傳遞驗證

下一步