Compartilhar via


Autenticação de passagem do Microsoft Entra: aprofundamento técnico

Este artigo é uma visão geral de como funciona a autenticação de passagem do Microsoft Entra. Para obter informações técnicas e de segurança aprofundadas, veja o artigo Aprofundamento sobre segurança.

Como funciona a autenticação de passagem do Microsoft Entra?

Observação

Como um pré-requisito para que a autenticação de passagem funcione, os usuários precisam ser provisionados na ID do Microsoft Entra por meio do Active Directory local usando o Microsoft Entra Connect. A Autenticação de Passagem não aplica-se a usuários somente de nuvem.

Quando um usuário tenta entrar em um aplicativo protegido pela ID do Microsoft Entra e se a autenticação de passagem está habilitada no locatário, ocorrem as seguintes etapas:

  1. O usuário tenta acessar um aplicativo, por exemplo, Outlook Web App.
  2. Se o usuário ainda não tiver entrado, ele será redirecionado para a página Entrada de Usuário da ID do Microsoft Entra.
  3. O usuário insere o nome de usuário na página de entrada do Microsoft Entra e seleciona o botão Avançar.
  4. O usuário insere a senha na página de entrada do Microsoft Entra e seleciona o botão Entrar.
  5. Ao receber a solicitação de entrada, a ID do Microsoft Entra coloca o nome de usuário e a senha (criptografados por meio da chave pública dos Agentes de Autenticação) em uma fila.
  6. Um Agente de Autenticação local recupera o nome de usuário e a senha criptografada da fila. Observe que o Agente não realiza com frequência uma sondagem por solicitações da fila, mas recupera as solicitações por uma conexão persistente pré-estabelecida.
  7. O agente descriptografa a senha usando sua chave privada.
  8. Em seguida, o agente valida o nome de usuário e a senha no Active Directory usando APIs padrão do Windows, que é um mecanismo semelhante ao usado pelos Serviços de Federação do Active Directory (AD FS). O nome de usuário pode ser o nome de usuário local padrão, normalmente userPrincipalName, ou outro atributo configurado no Microsoft Entra Connect (conhecido como Alternate ID).
  9. Em seguida, o DC (Controlador de Domínio) do Active Directory local avalia a solicitação e retorna a resposta apropriada (êxito, falha, senha expirada ou usuário bloqueado) para o agente.
  10. O Agente de Autenticação, por sua vez, retorna essa resposta à ID do Microsoft Entra.
  11. A ID do Microsoft Entra avalia a resposta e responde ao usuário, conforme apropriado. Por exemplo, a ID do Microsoft Entra conecta o usuário imediatamente ou solicita a autenticação multifator do Microsoft Entra.
  12. Se a entrada do usuário for bem-sucedida, ele será capaz de acessar o aplicativo.

O diagrama a seguir ilustra a todos os componentes e as etapas envolvidas:

Pass-through Authentication

Próximas etapas