Microsoft Entra-direktautentisering: Teknisk djupdykning

Den här artikeln är en översikt över hur Direktautentisering i Microsoft Entra fungerar. Detaljerad teknisk information och säkerhetsinformation finns i artikeln Security deep dive.

Hur fungerar Direktautentisering i Microsoft Entra?

Not

Som en förutsättning för att Pass-through Authentication ska fungera behöver användarna synkroniseras till Microsoft Entra ID från det lokala Active Directory med hjälp av Microsoft Entra Connect. Direktautentisering gäller inte för molnbaserade användare.

När en användare försöker logga in på ett program som skyddas av Microsoft Entra-ID och om direktautentisering är aktiverat i klientorganisationen utförs följande steg:

1. Användaren försöker komma åt ett program, till exempel Outlook Web App.
2. Om användaren inte redan är inloggad omdirigeras användaren till Microsoft Entra-ID:t -sidan för användarinloggning.
3. Användaren anger sitt användarnamn på inloggningssidan för Microsoft Entra och väljer sedan knappen Nästa.
4. Användaren anger sitt lösenord på inloggningssidan för Microsoft Entra och väljer sedan knappen Logga in.
5. Microsoft Entra-ID placerar användarnamnet och lösenordet (krypterat med hjälp av den offentliga nyckeln för autentiseringsagenterna) i en kö när du tar emot begäran om att logga in.
6. En lokal autentiseringsagent hämtar användarnamnet och det krypterade lösenordet från kön. Observera att agenten inte ofta söker efter begäranden från kön, utan hämtar begäranden via en fördefinierad beständig anslutning.
7. Agenten dekrypterar lösenordet med hjälp av sin privata nyckel.
8. Agenten verifierar användarnamnet och lösenordet mot Active Directory med hjälp av standard-Windows-API:er, vilket är en mekanism som liknar vad Active Directory Federation Services (AD FS) använder. Användarnamnet kan vara antingen det lokala standardanvändarnamnet, vanligtvis userPrincipalName, eller ett annat attribut som konfigurerats i Microsoft Entra Connect (kallas Alternate ID).
9. Den lokala Active Directory-domänkontrollanten (DC) utvärderar begäran och returnerar lämpligt svar (lyckat, misslyckat, lösenordet har upphört att gälla eller användaren har låsts ut) till agenten.
10. Autentiseringsagenten returnerar i sin tur det här svaret tillbaka till Microsoft Entra-ID.
11. Microsoft Entra-ID utvärderar svaret och svarar användaren efter behov. Till exempel loggar Microsoft Entra ID antingen in användaren direkt eller begär Microsoft Entra multifaktorautentisering.
12. Om användaren har loggat in kan användaren komma åt programmet.

Följande diagram illustrerar alla komponenter och de steg som ingår:

Nästa steg

• Aktuella begränsningar: Lär dig vilka scenarier som stöds och vilka som inte är det.
• Snabbstart: Kom igång med Microsoft Entra-direktautentisering.
• Migrera dina appar till Microsoft Entra ID: Resurser som hjälper dig att migrera programåtkomst och autentisering till Microsoft Entra-ID.
• Smart Lockout: Konfigurera funktionen Smart Lockout på din klientorganisation för att skydda användarkonton.
• Vanliga frågor och svar: Hitta svar på vanliga frågor och svar.
• Felsöka: Lär dig hur du löser vanliga problem med funktionen direktautentisering.
• Security Deep Dive: Hämta detaljerad teknisk information om funktionen direktautentisering.
• Microsoft Entra-hybridanslutning: Konfigurera microsoft Entra-hybridanslutningsfunktioner i din klientorganisation för enkel inloggning i molnet och lokala resurser.    
• sömlös enkel inloggning i Microsoft Entra: Läs mer om den här kompletterande funktionen.
• UserVoice: Använd Microsoft Entra-forumet för att skicka nya funktionsbegäranden.