Autenticazione pass-through di Microsoft Entra: approfondimento tecnico

Questo articolo offre una panoramica del funzionamento dell'autenticazione pass-through di Microsoft Entra. Per informazioni approfondite tecniche e sulla sicurezza, vedere l'articolo di approfondimento sulla sicurezza.

Come funziona l'autenticazione pass-through di Microsoft Entra?

Nota

Come prerequisito per il funzionamento dell'autenticazione pass-through, gli utenti devono essere configurati in Microsoft Entra ID dal proprio Active Directory locale usando Microsoft Entra Connect. L'autenticazione con trasferimento diretto non si applica agli utenti cloud.

Quando un utente tenta di accedere a un'applicazione protetta da Microsoft Entra ID e se l'autenticazione pass-through è abilitata nel tenant, si verificano i passaggi seguenti:

1. L'utente tenta di accedere a un'applicazione, ad esempio Outlook Web App.
2. Se l'utente non ha già eseguito l'accesso, viene reindirizzato alla pagina di accesso utente ID Microsoft Entra .
3. L'utente immette il proprio nome utente nella pagina di accesso di Microsoft Entra e quindi seleziona il pulsante Avanti.
4. L'utente immette la password nella pagina di accesso di Microsoft Entra e quindi seleziona il pulsante Accedi.
5. Microsoft Entra ID, quando riceve la richiesta di accesso, inserisce il nome utente e la password (crittografati usando la chiave pubblica degli agenti di autenticazione) in una coda.
6. Un agente di autenticazione locale recupera il nome utente e la password crittografata dalla coda. Si noti che l'agente non esegue spesso il polling delle richieste dalla coda, ma recupera le richieste su una connessione permanente già stabilita.
7. L'agente decrittografa la password usando la chiave privata.
8. L'agente convalida il nome utente e la password in Active Directory usando le API Windows standard, un meccanismo simile a quello usato da Active Directory Federation Services (AD FS). Il nome utente può essere il nome utente predefinito locale, in genere userPrincipalNameo un altro attributo configurato in Microsoft Entra Connect (noto come Alternate ID).
9. Il controller di dominio di Active Directory locale valuta la richiesta e restituisce la risposta appropriata (esito positivo, negativo, password scaduta o utente bloccato) all'agente.
10. L'agente di autenticazione, a sua volta, restituisce questa risposta all'ID Microsoft Entra.
11. Microsoft Entra ID valuta la risposta e risponde all'utente in base alle esigenze. Ad esempio, Microsoft Entra ID firma immediatamente l'utente o richiede l'autenticazione a più fattori di Microsoft Entra.
12. Se l'accesso dell'utente ha esito positivo, l'utente può accedere all'applicazione.

Il diagramma seguente illustra tutti i componenti e i passaggi necessari:

Passaggi successivi

• Limitazioni correnti: informazioni su quali scenari sono supportati e quali non sono.
• Guida Rapida: Configurazione rapida per l'autenticazione pass-through di Microsoft Entra.
• Eseguire la migrazione delle app a Microsoft Entra ID: risorse che consentono di eseguire la migrazione dell'accesso e dell'autenticazione delle applicazioni all'ID Microsoft Entra.
• Smart Lockout: configurare la funzionalità Smart Lockout nel tenant per proteggere gli account utente.
• domande frequenti: trovare le risposte alle domande frequenti.
• Risolvere i problemi di: scopri come risolvere i problemi comuni relativi alla funzionalità di Pass-through Authentication.
• approfondimento sulla sicurezza: ottenere informazioni tecniche approfondite sulla funzionalità di autenticazione pass-through.
• l'aggiunta ibrida di Microsoft Entra: configurare la funzionalità di aggiunta ibrida di Microsoft Entra nel tenant per l'accesso Single Sign-On tra le risorse cloud e locali.    
• Microsoft Entra seamless SSO: altre informazioni su questa funzionalità complementare.
• UserVoice: usare il forum di Microsoft Entra per inviare nuove richieste di funzionalità.