Delen via


Passthrough-verificatie van Microsoft Entra: Technische diepgaande informatie

Dit artikel is een overzicht van hoe Pass Through-verificatie van Microsoft Entra werkt. Zie het artikel Security deep dive voor uitgebreide technische en beveiligingsinformatie.

Hoe werkt passthrough-verificatie van Microsoft Entra?

Notitie

Als voorwaarde dat passthrough-verificatie werkt, moeten gebruikers worden ingericht in Microsoft Entra-id vanuit on-premises Active Directory met behulp van Microsoft Entra Verbinding maken. PassThrough-verificatie is niet van toepassing op gebruikers in de cloud.

Wanneer een gebruiker zich probeert aan te melden bij een toepassing die wordt beveiligd door Microsoft Entra-id en als passthrough-verificatie is ingeschakeld voor de tenant, worden de volgende stappen uitgevoerd:

  1. De gebruiker probeert toegang te krijgen tot een toepassing, bijvoorbeeld Outlook Web App.
  2. Als de gebruiker nog niet is aangemeld, wordt de gebruiker omgeleid naar de aanmeldingspagina van de Microsoft Entra ID-gebruiker .
  3. De gebruiker voert zijn gebruikersnaam in op de aanmeldingspagina van Microsoft Entra en selecteert vervolgens de knop Volgende .
  4. De gebruiker voert zijn wachtwoord in op de aanmeldingspagina van Microsoft Entra en selecteert vervolgens de knop Aanmelden .
  5. Microsoft Entra-id, bij ontvangst van de aanvraag voor aanmelding, plaatst de gebruikersnaam en het wachtwoord (versleuteld met behulp van de openbare sleutel van de verificatieagenten) in een wachtrij.
  6. Een on-premises verificatieagent haalt de gebruikersnaam en het versleutelde wachtwoord op uit de wachtrij. Houd er rekening mee dat de agent niet vaak pollt naar aanvragen uit de wachtrij, maar dat aanvragen worden opgehaald via een vooraf tot stand gebrachte permanente verbinding.
  7. De agent ontsleutelt het wachtwoord met behulp van de persoonlijke sleutel.
  8. De agent valideert de gebruikersnaam en het wachtwoord voor Active Directory met behulp van standaard Windows-API's. Dit is een vergelijkbaar mechanisme als wat Active Directory Federation Services (AD FS) gebruikt. De gebruikersnaam kan de on-premises standaardgebruikersnaam zijn, meestal userPrincipalNameof een ander kenmerk dat is geconfigureerd in Microsoft Entra Verbinding maken (ook wel bekend alsAlternate ID).
  9. De on-premises Active Directory-domeincontroller (DC) evalueert de aanvraag en retourneert het juiste antwoord (geslaagd, mislukt, verlopen wachtwoord of vergrendelde gebruiker) aan de agent.
  10. De verificatieagent retourneert dit antwoord weer naar Microsoft Entra-id.
  11. Microsoft Entra-id evalueert het antwoord en reageert naar wens op de gebruiker. Microsoft Entra-id ondertekent bijvoorbeeld de gebruiker onmiddellijk of vraagt om meervoudige verificatie van Microsoft Entra.
  12. Als de gebruiker zich met succes heeft aangemeld, heeft deze toegang tot de toepassing.

In het volgende diagram ziet u alle onderdelen en de betrokken stappen:

Pass-through Authentication

Volgende stappen

  • Huidige beperkingen: Ontdek welke scenario's worden ondersteund en welke niet.
  • Snel aan de slag: Aan de slag met Pass Through-verificatie van Microsoft Entra.
  • Migreer uw apps naar Microsoft Entra ID: bronnen om u te helpen bij het migreren van toepassingstoegang en -verificatie naar Microsoft Entra-id.
  • Smart Lockout: De Smart Lockout-mogelijkheid op uw tenant configureren om gebruikersaccounts te beveiligen.
  • Veelgestelde vragen: antwoorden vinden op veelgestelde vragen.
  • Probleemoplossing: Leer hoe u veelvoorkomende problemen met de functie Passthrough-verificatie oplost.
  • Uitgebreide informatie over beveiliging: krijg uitgebreide technische informatie over de functie passthrough-verificatie.
  • Hybride deelname van Microsoft Entra: configureer de hybride deelnamemogelijkheid van Microsoft Entra in uw tenant voor eenmalige aanmelding in uw cloud en on-premises resources.    
  • Naadloze eenmalige aanmelding van Microsoft Entra: meer informatie over deze aanvullende functie.
  • UserVoice: gebruik het Microsoft Entra-forum om nieuwe functieaanvragen in te voeren.