Sdílet prostřednictvím


Předávací ověřování Microsoft Entra: Podrobné technické informace

Tento článek je přehledem toho, jak funguje předávací ověřování Microsoft Entra. Podrobné technické informace a informace o zabezpečení najdete v článku Podrobné informace o zabezpečení.

Jak funguje předávací ověřování Microsoft Entra?

Poznámka:

Jako předpoklad, aby předávací ověřování fungovalo, musí být uživatelé zřízeni do MICROSOFT Entra ID z místní Active Directory pomocí microsoft Entra Připojení. Předávací ověřování se nevztahuje jenom na uživatele cloudu.

Když se uživatel pokusí přihlásit k aplikaci zabezpečené pomocí ID Microsoft Entra a pokud je v tenantovi povolené předávací ověřování, dojde k následujícím krokům:

  1. Uživatel se pokusí o přístup k aplikaci, například k Outlook Web Appu.
  2. Pokud uživatel ještě není přihlášený, uživatel se přesměruje na přihlašovací stránku uživatele Microsoft Entra ID.
  3. Uživatel zadá své uživatelské jméno na přihlašovací stránku Microsoft Entra a pak vybere tlačítko Další .
  4. Uživatel zadá heslo na přihlašovací stránku Microsoft Entra a pak vybere tlačítko Přihlásit se.
  5. Id Microsoft Entra při přijetí žádosti o přihlášení umístí uživatelské jméno a heslo (zašifrované pomocí veřejného klíče ověřovacích agentů) do fronty.
  6. Místní ověřovací agent načte uživatelské jméno a šifrované heslo z fronty. Všimněte si, že agent se často dotazuje na požadavky z fronty, ale načítá požadavky přes předem vytvořené trvalé připojení.
  7. Agent dešifruje heslo pomocí svého privátního klíče.
  8. Agent ověří uživatelské jméno a heslo ve službě Active Directory pomocí standardních rozhraní API systému Windows, což je podobný mechanismus, jaký používá Active Directory Federation Services (AD FS) (AD FS). Uživatelské jméno může být buď místní výchozí uživatelské jméno, obvykle userPrincipalNamenebo jiný atribut nakonfigurovaný v Microsoft Entra Připojení (označovaný jako Alternate ID).
  9. Řadič domény místní Active Directory vyhodnocuje požadavek a vrátí příslušnou odpověď (úspěch, selhání, vypršení platnosti hesla nebo uzamčení uživatele) agentu.
  10. Ověřovací agent zase vrátí tuto odpověď zpět na ID Microsoft Entra.
  11. Microsoft Entra ID vyhodnotí odpověď a podle potřeby odpoví uživateli. Například Microsoft Entra ID buď podepíše uživatele okamžitě nebo požádá o vícefaktorové ověřování Microsoft Entra.
  12. Pokud je přihlášení uživatele úspěšné, uživatel má přístup k aplikaci.

Následující diagram znázorňuje všechny komponenty a příslušné kroky:

Pass-through Authentication

Další kroky

  • Aktuální omezení: Zjistěte, které scénáře jsou podporované a které ne.
  • Rychlý start: Zprovoznění předávacího ověřování Microsoft Entra
  • Migrace aplikací do Microsoft Entra ID: Prostředky, které vám pomůžou migrovat přístup k aplikacím a ověřování na Microsoft Entra ID.
  • Inteligentní uzamčení: Nakonfigurujte ve svém tenantovi funkci Inteligentní uzamčení pro ochranu uživatelských účtů.
  • Nejčastější dotazy: Najděte odpovědi na nejčastější dotazy.
  • Řešení potíží: Zjistěte, jak vyřešit běžné problémy s funkcí předávacího ověřování.
  • Podrobné informace o zabezpečení: Získejte podrobné technické informace o funkci předávacího ověřování.
  • Hybridní připojení Microsoft Entra: Nakonfigurujte v tenantovi možnost hybridního připojení Microsoft Entra pro jednotné přihlašování napříč cloudovými a místními prostředky.    
  • Bezproblémové jednotné přihlašování microsoftu Entra: Přečtěte si další informace o této doplňkové funkci.
  • UserVoice: K vytvoření nových žádostí o funkce použijte fórum Microsoft Entra.