Condividi tramite


Autenticazione pass-through di Microsoft Entra: approfondimento tecnico

Questo articolo offre una panoramica del funzionamento dell'autenticazione pass-through di Microsoft Entra. Per informazioni approfondite tecniche e sulla sicurezza, vedere l'articolo di approfondimento sulla sicurezza.

Come funziona l'autenticazione pass-through di Microsoft Entra?

Nota

Come prerequisito per il funzionamento dell'autenticazione pass-through, gli utenti devono essere configurati in Microsoft Entra ID dal proprio Active Directory locale usando Microsoft Entra Connect. L'autenticazione con trasferimento diretto non si applica agli utenti cloud.

Quando un utente tenta di accedere a un'applicazione protetta da Microsoft Entra ID e se l'autenticazione pass-through è abilitata nel tenant, si verificano i passaggi seguenti:

  1. L'utente tenta di accedere a un'applicazione, ad esempio Outlook Web App.
  2. Se l'utente non ha già eseguito l'accesso, viene reindirizzato alla pagina di accesso utente ID Microsoft Entra .
  3. L'utente immette il proprio nome utente nella pagina di accesso di Microsoft Entra e quindi seleziona il pulsante Avanti.
  4. L'utente immette la password nella pagina di accesso di Microsoft Entra e quindi seleziona il pulsante Accedi.
  5. Microsoft Entra ID, quando riceve la richiesta di accesso, inserisce il nome utente e la password (crittografati usando la chiave pubblica degli agenti di autenticazione) in una coda.
  6. Un agente di autenticazione locale recupera il nome utente e la password crittografata dalla coda. Si noti che l'agente non esegue spesso il polling delle richieste dalla coda, ma recupera le richieste su una connessione permanente già stabilita.
  7. L'agente decrittografa la password usando la chiave privata.
  8. L'agente convalida il nome utente e la password in Active Directory usando le API Windows standard, un meccanismo simile a quello usato da Active Directory Federation Services (AD FS). Il nome utente può essere il nome utente predefinito locale, in genere userPrincipalNameo un altro attributo configurato in Microsoft Entra Connect (noto come Alternate ID).
  9. Il controller di dominio di Active Directory locale valuta la richiesta e restituisce la risposta appropriata (esito positivo, negativo, password scaduta o utente bloccato) all'agente.
  10. L'agente di autenticazione, a sua volta, restituisce questa risposta all'ID Microsoft Entra.
  11. Microsoft Entra ID valuta la risposta e risponde all'utente in base alle esigenze. Ad esempio, Microsoft Entra ID firma immediatamente l'utente o richiede l'autenticazione a più fattori di Microsoft Entra.
  12. Se l'accesso dell'utente ha esito positivo, l'utente può accedere all'applicazione.

Il diagramma seguente illustra tutti i componenti e i passaggi necessari:

Autenticazione pass-through

Passaggi successivi