Análisis detallado técnico de la autenticación transferida de Microsoft Entra

Este artículo ofrece información general sobre cómo funciona la autenticación de paso a través de Microsoft Entra. Si desea información técnica y de seguridad detallada, consulte el artículo Análisis a fondo de la seguridad.

¿Cómo funciona la autenticación de tránsito de Microsoft Entra?

Nota:

Como requisito previo para el funcionamiento de la autenticación de paso a través, los usuarios deben aprovisionarse en Microsoft Entra ID desde Active Directory local mediante Microsoft Entra Connect. La autenticación de paso a través no se aplica a los usuarios que están solo en la nube.

Cuando un usuario intenta iniciar sesión en una aplicación protegida mediante Microsoft Entra ID, y si la autenticación de paso a través está habilitada en el inquilino, se producen los pasos siguientes:

  1. Un usuario intenta acceder a una aplicación (por ejemplo, Outlook Web App).
  2. Si el usuario todavía no ha iniciado sesión, se le redirige a la página Inicio de sesión de usuario de Microsoft Entra ID.
  3. El usuario escribe su nombre de usuario en la página Inicio de sesión del usuario de Microsoft Entra y después selecciona el botón Siguiente.
  4. El usuario escribe su contraseña en la página Inicio de sesión de usuario de Microsoft Entra y después selecciona el botón Inicio de sesión.
  5. Cuando Microsoft Entra ID recibe la solicitud de inicio de sesión, pone el nombre de usuario y la contraseña (cifrada mediante la clave pública de los agentes de autenticación) en una cola.
  6. Un agente de autenticación local recupera el nombre de usuario y la contraseña cifrada de la cola. Tenga en cuenta que el agente no sondea con frecuencia las solicitudes de la cola, sino que recupera las solicitudes a través de una conexión persistente establecida previamente.
  7. El agente descifra la contraseña con su clave privada.
  8. El agente valida el nombre de usuario y la contraseña en Active Directory mediante las API de Windows, que es un mecanismo similar al que se usa en Servicios de federación de Active Directory (AD FS). El nombre de usuario puede ser el nombre de usuario predeterminado local (normalmente, userPrincipalName) u otro atributo (conocido como Alternate ID) configurado en Microsoft Entra Connect.
  9. El controlador de dominio (DC) de Active Directory local evalúa la solicitud y devuelve la respuesta adecuada (correcto, error, contraseña expirada o bloqueo de usuario) al agente.
  10. El agente de autenticación, a su vez, devuelve esta respuesta a Microsoft Entra ID.
  11. Microsoft Entra ID evalúa la respuesta y responde al usuario según corresponda. Por ejemplo, Microsoft Entra ID inicia la sesión del usuario inmediatamente o solicita la autenticación multifactor de Microsoft Entra.
  12. Si el inicio de sesión del usuario se realiza correctamente, el usuario puede acceder a la aplicación.

En el diagrama siguiente se ilustran todos los componentes y los pasos implicados:

Pass-through Authentication

Pasos siguientes