Passthrough-verificatie van Microsoft Entra: Technische diepgaande informatie

Dit artikel is een overzicht van hoe Pass Through-verificatie van Microsoft Entra werkt. Zie het artikel Security deep dive voor uitgebreide technische en beveiligingsinformatie.

Hoe werkt passthrough-verificatie van Microsoft Entra?

Notitie

Als voorwaarde voor het functioneren van passthrough-authenticatie moeten gebruikers vanuit een on-premises Active Directory worden ingericht in Microsoft Entra ID met behulp van Microsoft Entra Connect. PassThrough-verificatie is niet van toepassing op gebruikers in de cloud.

Wanneer een gebruiker zich probeert aan te melden bij een toepassing die wordt beveiligd door Microsoft Entra-id en als passthrough-verificatie is ingeschakeld voor de tenant, worden de volgende stappen uitgevoerd:

1. De gebruiker probeert toegang te krijgen tot een toepassing, bijvoorbeeld Outlook Web App.
2. Als de gebruiker nog niet is aangemeld, wordt de gebruiker omgeleid naar de Microsoft Entra ID pagina Aanmelding gebruiker.
3. De gebruiker voert zijn gebruikersnaam in op de aanmeldingspagina van Microsoft Entra en selecteert vervolgens de knop Volgende.
4. De gebruiker voert zijn wachtwoord in op de aanmeldingspagina van Microsoft Entra en selecteert vervolgens de knop Aanmelden.
5. Microsoft Entra-id, bij ontvangst van de aanvraag voor aanmelding, plaatst de gebruikersnaam en het wachtwoord (versleuteld met behulp van de openbare sleutel van de verificatieagenten) in een wachtrij.
6. Een on-premises verificatieagent haalt de gebruikersnaam en het versleutelde wachtwoord op uit de wachtrij. Houd er rekening mee dat de agent niet vaak pollt naar aanvragen uit de wachtrij, maar dat aanvragen worden opgehaald via een vooraf tot stand gebrachte permanente verbinding.
7. De agent ontsleutelt het wachtwoord met behulp van de persoonlijke sleutel.
8. De agent valideert de gebruikersnaam en het wachtwoord voor Active Directory met behulp van standaard Windows-API's. Dit is een vergelijkbaar mechanisme als wat Active Directory Federation Services (AD FS) gebruikt. De gebruikersnaam kan de on-premises standaardgebruikersnaam zijn, meestal userPrincipalNameof een ander kenmerk dat is geconfigureerd in Microsoft Entra Connect (ook wel Alternate IDgenoemd).
9. De on-premises Active Directory-domeincontroller (DC) evalueert de aanvraag en retourneert het juiste antwoord (geslaagd, mislukt, verlopen wachtwoord of vergrendelde gebruiker) aan de agent.
10. De verificatieagent retourneert dit antwoord weer naar Microsoft Entra-id.
11. Microsoft Entra-id evalueert het antwoord en reageert naar wens op de gebruiker. Microsoft Entra-id ondertekent bijvoorbeeld de gebruiker onmiddellijk of vraagt om meervoudige verificatie van Microsoft Entra.
12. Als de aanmelding van de gebruiker is geslaagd, heeft de gebruiker toegang tot de toepassing.

In het volgende diagram ziet u alle onderdelen en de betrokken stappen:

Volgende stappen

• huidige beperkingen: meer informatie over welke scenario's worden ondersteund en welke niet.
• Quick Start: Snel aan de slag met passthrough-verificatie van Microsoft Entra.
• Uw apps migreren naar Microsoft Entra ID: bronnen om u te helpen bij het migreren van toepassingstoegang en -verificatie naar Microsoft Entra-id.
• Smart Lockout-: configureer de functie Smart Lockout op uw tenant om gebruikersaccounts te beveiligen.
• veelgestelde vragen: vind antwoorden op veelgestelde vragen.
• Problemen metoplossen: informatie over het oplossen van veelvoorkomende problemen met de functie PassThrough-verificatie.
• Security Deep Dive: krijg uitgebreide technische informatie over de functie PassThrough-verificatie.
• hybride join van Microsoft Entra: configureer de hybride join-mogelijkheid van Microsoft Entra in uw tenant-account voor Single Sign-On (SSO) in uw cloud- en on-premises resources.    
• Microsoft Entra naadloze SSO: Lees meer over deze aanvullende functionaliteit.
• UserVoice: gebruik het Microsoft Entra-forum om nieuwe functieaanvragen in te voeren.