Microsoft Entra átmenő hitelesítés: Műszaki részletes elemzés
Ez a cikk a Microsoft Entra átmenő hitelesítésének működését mutatja be. A részletes technikai és biztonsági információkért tekintse meg a Security részletes elemzési cikkét .
Hogyan működik a Microsoft Entra átmenő hitelesítése?
Megjegyzés:
Az átmenő hitelesítés működésének előfeltételeként a felhasználókat a Microsoft Entra-azonosítóba kell kiépíteni helyi Active Directory a Microsoft Entra Csatlakozás használatával. Az átmenő hitelesítés nem vonatkozik a csak felhőalapú felhasználókra.
Amikor egy felhasználó megpróbál bejelentkezni egy Microsoft Entra-azonosítóval védett alkalmazásba, és ha az átmenő hitelesítés engedélyezve van a bérlőn, a következő lépések történnek:
- A felhasználó megpróbál hozzáférni egy alkalmazáshoz, például az Outlook Web Apphoz.
- Ha a felhasználó még nincs bejelentkezve, a rendszer átirányítja a felhasználót a Microsoft Entra ID felhasználói bejelentkezési lapjára.
- A felhasználó beírja a felhasználónevét a Microsoft Entra bejelentkezési oldalára, majd a Tovább gombra kattint.
- A felhasználó beírja a jelszavát a Microsoft Entra bejelentkezési oldalára, majd kiválasztja a Bejelentkezés gombot.
- A Microsoft Entra ID a bejelentkezésre irányuló kérés fogadásakor a felhasználónevet és a jelszót (a hitelesítési ügynökök nyilvános kulcsával titkosítva) egy üzenetsorba helyezi.
- A helyszíni hitelesítési ügynök lekéri a felhasználónevet és a titkosított jelszót az üzenetsorból. Vegye figyelembe, hogy az ügynök nem gyakran kérdez le kéréseket az üzenetsorból, hanem egy előre létrehozott állandó kapcsolaton keresztül kéri le a kéréseket.
- Az ügynök a titkos kulcsával fejti vissza a jelszót.
- Az ügynök szabványos Windows API-k használatával érvényesíti a felhasználónevet és a jelszót az Active Directoryban, ami hasonló mechanizmus a Active Directory összevonási szolgáltatások (AD FS) (AD FS) által használthoz. A felhasználónév lehet általában a helyszíni alapértelmezett felhasználónév,
userPrincipalName
vagy a Microsoft Entra Csatlakozás (más névenAlternate ID
). - A helyi Active Directory tartományvezérlő (DC) kiértékeli a kérést, és visszaadja a megfelelő választ (sikeres, sikertelen, lejárt jelszó vagy felhasználó zárolt) az ügynöknek.
- A hitelesítési ügynök viszont visszaadja ezt a választ a Microsoft Entra-azonosítónak.
- A Microsoft Entra ID kiértékeli a választ, és szükség szerint válaszol a felhasználónak. A Microsoft Entra ID például azonnal aláírja a felhasználót, vagy többtényezős Microsoft Entra-hitelesítést kér.
- Ha a felhasználó bejelentkezése sikeres, a felhasználó hozzáférhet az alkalmazáshoz.
Az alábbi ábra az összes összetevőt és az érintett lépéseket mutatja be:
További lépések
- Jelenlegi korlátozások: Megtudhatja, hogy mely forgatókönyvek támogatottak, és melyek nem.
- Rövid útmutató: A Microsoft Entra átmenő hitelesítésének megkezdése és futtatása.
- Alkalmazások migrálása a Microsoft Entra-azonosítóba: Erőforrások az alkalmazáshozzáférés és a hitelesítés Microsoft Entra-azonosítóba való migrálásához.
- Intelligens zárolás: Konfigurálja a bérlő intelligens zárolási funkcióját a felhasználói fiókok védelme érdekében.
- Gyakori kérdések: Gyakori kérdésekre adott válaszok.
- Hibaelhárítás: Megtudhatja, hogyan háríthatja el az átmenő hitelesítés funkcióval kapcsolatos gyakori problémákat.
- Security Deep Dive: Részletes technikai információk az átmenő hitelesítés funkcióról.
- Microsoft Entra hibrid illesztés: Konfigurálja a Microsoft Entra hibrid csatlakoztatási képességét a bérlőn az egyszeri bejelentkezéshez a felhőben és a helyszíni erőforrásokban.
- Microsoft Entra közvetlen egyszeri bejelentkezés: További információ erről a kiegészítő funkcióról.
- UserVoice: A Microsoft Entra fórumával új funkciókéréseket küldhet.