Microsoft Entra 傳遞驗證:技術深入探討
本文是 Microsoft Entra 傳遞驗證運作方式的概觀。 如需深層技術和安全性資訊,請參閱安全性深入探討一文。
Microsoft Entra 傳遞驗證如何運作?
注意
若要讓傳遞驗證能運作,必須先使用 Microsoft Entra Connect 將使用者從內部部署 Active Directory 佈建到 Microsoft Entra ID。 傳遞驗證不適用於僅使用雲端的使用者。
當使用者嘗試登入 Microsoft Entra ID 所保護的應用程式,並且在租用戶上啟用傳遞驗證時,便會執行下列步驟:
- 使用者嘗試存取應用程式,例如 Outlook Web App。
- 如果使用者尚未登入,即會將使用者重新導向 Microsoft Entra ID [使用者登入] 頁面。
- 使用者在 Microsoft Entra 登入頁面中輸入其使用者名稱,然後選取 [下一步] 按鈕。
- 使用者將其密碼輸入 Microsoft Entra 登入頁面中,然後選取 [登入] 按鈕。
- 接收登入要求時,Microsoft Entra ID 會將使用者名稱和密碼 (使用驗證代理程式的公開金鑰加密) 置於佇列。
- 內部部署驗證代理程式會從佇列中擷取使用者名稱和加密的密碼。 請注意,代理程式不會經常輪詢佇列中的要求,而是會透過預先建立的持續連線來擷取要求。
- 代理程式會使用其私密金鑰將密碼解密。
- 代理程式會使用標準 Windows API 向 Active Directory 驗證使用者名稱和密碼,類似於 Active Directory 同盟服務 (AD FS) 所使用的機制。 使用者名稱可以是內部部署的預設使用者名稱 (通常是
userPrincipalName),或可在 Microsoft Entra Connect 中設定的另一個屬性 (又稱為Alternate ID)。 - 內部部署 Active Directory 網域控制站 (DC) 會評估要求,並將適當的回應 (成功、失敗、密碼過期或鎖定使用者) 傳回給代理程式。
- 因此,驗證代理程式會將此回應傳回給 Microsoft Entra ID。
- Microsoft Entra ID 會評估回應,並視情況回應使用者。 例如,Microsoft Entra ID 會立即將使用者登入,或要求 Microsoft Entra 多重要素驗證。
- 如果使用者登入成功,使用者即可存取應用程式。
下圖說明所有元件和相關步驟:
下一步
- 目前的限制:了解支援的情節和不支援的情節。
- 快速入門:啟動並在 Microsoft Entra 傳遞驗證執行。
- 將您的應用程式移轉至 Microsoft Entra ID:可協助您將應用程式存取權和驗證移轉至 Microsoft Entra ID 的資源。
- 智慧鎖定:在租用戶中設定智慧鎖定功能以保護使用者帳戶。
- 常見問題集:常見問題集的答案。
- 疑難排解:了解如何解決傳遞驗證功能的常見問題。
- 安全性深入探討:取得傳遞驗證功能上的深入技術資訊。
- Microsoft Entra 混合式聯結:在您的租用戶上設定 Microsoft Entra 混合式聯結功能,以便跨雲端和內部部署資源使用 SSO。
- Microsoft Entra 無縫 SSO:深入了解此互補功能。
- UserVoice:使用 Microsoft Entra 論壇歸檔新功能要求。