Uwierzytelnianie przekazywane firmy Microsoft Entra: szczegółowe informacje techniczne
Ten artykuł zawiera omówienie działania uwierzytelniania przekazywanego przez firmę Microsoft. Aby uzyskać szczegółowe informacje techniczne i zabezpieczające, zobacz artykuł Szczegółowe omówienie zabezpieczeń.
Jak działa uwierzytelnianie przekazywane przez firmę Microsoft?
Uwaga
Aby uwierzytelnianie przekazywane działało, użytkownicy muszą być aprowizowani w usłudze Microsoft Entra ID z lokalna usługa Active Directory przy użyciu usługi Microsoft Entra Połączenie. Uwierzytelnianie przekazywane nie ma zastosowania do użytkowników korzystających tylko z chmury.
Gdy użytkownik próbuje zalogować się do aplikacji zabezpieczonej przez identyfikator Firmy Microsoft Entra i jeśli uwierzytelnianie przekazywane jest włączone w dzierżawie, są wykonywane następujące kroki:
- Użytkownik próbuje uzyskać dostęp do aplikacji, na przykład aplikacji Outlook Web App.
- Jeśli użytkownik nie jest jeszcze zalogowany, użytkownik zostanie przekierowany do strony logowania użytkownika microsoft Entra ID.
- Użytkownik wprowadza swoją nazwę użytkownika na stronie logowania firmy Microsoft Entra, a następnie wybiera przycisk Dalej .
- Użytkownik wprowadza swoje hasło na stronie logowania firmy Microsoft, a następnie wybiera przycisk Zaloguj się .
- Microsoft Entra ID po otrzymaniu żądania logowania umieszcza nazwę użytkownika i hasło (zaszyfrowane przy użyciu klucza publicznego agentów uwierzytelniania) w kolejce.
- Lokalny agent uwierzytelniania pobiera nazwę użytkownika i zaszyfrowane hasło z kolejki. Należy pamiętać, że agent nie często sonduje żądań z kolejki, ale pobiera żądania za pośrednictwem wstępnie ustanowionego trwałego połączenia.
- Agent odszyfrowuje hasło przy użyciu klucza prywatnego.
- Agent weryfikuje nazwę użytkownika i hasło względem usługi Active Directory przy użyciu standardowych interfejsów API systemu Windows, który jest podobnym mechanizmem do użycia usług Active Directory Federation Services (AD FS). Nazwa użytkownika może być lokalną domyślną nazwą użytkownika, zazwyczaj
userPrincipalName
, lub innym atrybutem skonfigurowanym w usłudze Microsoft Entra Połączenie (znanym jakoAlternate ID
). - Kontroler domeny lokalna usługa Active Directory (DC) ocenia żądanie i zwraca odpowiednią odpowiedź (powodzenie, niepowodzenie, wygaśnięcie hasła lub zablokowanie użytkownika) do agenta.
- Agent uwierzytelniania zwraca tę odpowiedź z powrotem do identyfikatora Entra firmy Microsoft.
- Identyfikator entra firmy Microsoft ocenia odpowiedź i odpowiednio odpowiada na użytkownika. Na przykład identyfikator Entra firmy Microsoft podpisuje użytkownika natychmiast lub żądań uwierzytelniania wieloskładnikowego firmy Microsoft.
- Jeśli logowanie użytkownika zakończy się pomyślnie, użytkownik będzie mógł uzyskać dostęp do aplikacji.
Na poniższym diagramie przedstawiono wszystkie wymagane składniki i kroki:
Następne kroki
- Bieżące ograniczenia: dowiedz się, które scenariusze są obsługiwane, a które nie.
- Szybki start: rozpoczynanie pracy w usłudze Microsoft Entra pass-through authentication.
- Migrowanie aplikacji do identyfikatora Entra firmy Microsoft: zasoby ułatwiające migrowanie dostępu do aplikacji i uwierzytelniania do identyfikatora Entra firmy Microsoft.
- Blokada inteligentna: skonfiguruj funkcję inteligentnej blokady w dzierżawie, aby chronić konta użytkowników.
- Często zadawane pytania: znajdź odpowiedzi na często zadawane pytania.
- Rozwiązywanie problemów: Dowiedz się, jak rozwiązywać typowe problemy z funkcją uwierzytelniania przekazywanego.
- Szczegółowe omówienie zabezpieczeń: uzyskaj szczegółowe informacje techniczne dotyczące funkcji uwierzytelniania przekazywanego.
- Dołączanie hybrydowe firmy Microsoft Entra: konfigurowanie funkcji dołączania hybrydowego firmy Microsoft w dzierżawie na potrzeby logowania jednokrotnego w chmurze i zasobach lokalnych.
- Bezproblemowe logowanie jednokrotne firmy Microsoft: dowiedz się więcej o tej uzupełniającej funkcji.
- UserVoice: użyj forum Microsoft Entra, aby zgłosić nowe żądania funkcji.