Microsoft Entra 傳遞驗證:技術深入探討
本文概述 Microsoft Entra 傳遞驗證的運作方式。 如需深入的技術和安全性資訊,請參閱 安全性深入探討 文章。
Microsoft Entra 傳遞驗證如何運作?
注意
若要讓傳遞驗證能夠運作,使用者必須使用 Microsoft Entra 連線,從內部部署的 Active Directory布建到 Microsoft Entra 識別碼。 傳遞驗證不適用於僅限雲端的使用者。
當使用者嘗試登入受 Microsoft Entra ID 保護的應用程式,並在租使用者上啟用傳遞驗證時,會發生下列步驟:
- 使用者嘗試存取應用程式,例如 Outlook Web 應用程式 。
- 如果使用者尚未登入,則會將使用者重新導向至 Microsoft Entra ID 使用者登入 頁面。
- 使用者將其使用者名稱輸入 Microsoft Entra 登入頁面,然後選取 [ 下一步] 按鈕。
- 使用者將其密碼輸入 Microsoft Entra 登入頁面,然後選取 [ 登入 ] 按鈕。
- 在收到登入要求時,Microsoft Entra ID 會將使用者名稱和密碼(使用驗證代理程式的公開金鑰加密)放在佇列中。
- 內部部署驗證代理程式會從佇列擷取使用者名稱和加密的密碼。 請注意,Agent 不會經常輪詢來自佇列的要求,而是透過預先建立的持續性連線擷取要求。
- 代理程式會使用其私密金鑰來解密密碼。
- 代理程式會使用標準 Windows API 來驗證 Active Directory 的使用者名稱和密碼,這與Active Directory 同盟服務 (AD FS) 所使用的機制類似。 使用者名稱可以是內部部署預設使用者名稱,通常是
userPrincipalName
,或在 Microsoft Entra 連線 中設定的另一個屬性(稱為Alternate ID
)。 - 內部部署的 Active Directory網域控制站 (DC) 會評估要求,並將適當的回應(成功、失敗、密碼過期或使用者鎖定)傳回給代理程式。
- 驗證代理程式接著會將此回應傳回給 Microsoft Entra ID。
- Microsoft Entra ID 會評估回應,並視情況回應使用者。 例如,Microsoft Entra 識別碼會立即將使用者登入,或要求 Microsoft Entra 多重要素驗證。
- 如果使用者登入成功,使用者即可存取應用程式。
下圖說明所有相關元件和相關步驟:
下一步
- 目前的限制 :瞭解支援哪些案例,以及哪些案例不受支援。
- 快速入門 :在 Microsoft Entra 傳遞驗證上啟動並執行。
- 將您的應用程式移轉至 Microsoft Entra 識別碼 :資源可協助您將應用程式存取權和驗證移轉至 Microsoft Entra ID。
- 智慧鎖定:在您的租使用者上設定智慧鎖定 功能以保護使用者帳戶。
- 常見問題:尋找常見問題的解答。
- 疑難排解 :瞭解如何解決傳遞驗證功能的常見問題。
- 安全性深入探討 :取得傳遞驗證功能的深入技術資訊。
- Microsoft Entra 混合式聯結:在您的租使用者上設定 Microsoft Entra 混合式聯結 功能,以跨雲端和內部部署資源進行 SSO。
- Microsoft Entra 無縫 SSO :深入瞭解這項互補功能。
- UserVoice :使用 Microsoft Entra 論壇來提出新功能要求。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應