Microsoft Entra átmenő hitelesítés: Műszaki részletes elemzés

Ez a cikk a Microsoft Entra átmenő hitelesítésének működését mutatja be. A részletes technikai és biztonsági információkért tekintse meg a Security részletes elemzési cikkét .

Hogyan működik a Microsoft Entra átmenő hitelesítése?

Megjegyzés:

Az átmenő hitelesítés működésének előfeltételeként a felhasználókat a Microsoft Entra-azonosítóba kell kiépíteni helyi Active Directory a Microsoft Entra Csatlakozás használatával. Az átmenő hitelesítés nem vonatkozik a csak felhőalapú felhasználókra.

Amikor egy felhasználó megpróbál bejelentkezni egy Microsoft Entra-azonosítóval védett alkalmazásba, és ha az átmenő hitelesítés engedélyezve van a bérlőn, a következő lépések történnek:

1. A felhasználó megpróbál hozzáférni egy alkalmazáshoz, például az Outlook Web Apphoz.
2. Ha a felhasználó még nincs bejelentkezve, a rendszer átirányítja a felhasználót a Microsoft Entra ID felhasználói bejelentkezési lapjára.
3. A felhasználó beírja a felhasználónevét a Microsoft Entra bejelentkezési oldalára, majd a Tovább gombra kattint.
4. A felhasználó beírja a jelszavát a Microsoft Entra bejelentkezési oldalára, majd kiválasztja a Bejelentkezés gombot.
5. A Microsoft Entra ID a bejelentkezésre irányuló kérés fogadásakor a felhasználónevet és a jelszót (a hitelesítési ügynökök nyilvános kulcsával titkosítva) egy üzenetsorba helyezi.
6. A helyszíni hitelesítési ügynök lekéri a felhasználónevet és a titkosított jelszót az üzenetsorból. Vegye figyelembe, hogy az ügynök nem gyakran kérdez le kéréseket az üzenetsorból, hanem egy előre létrehozott állandó kapcsolaton keresztül kéri le a kéréseket.
7. Az ügynök a titkos kulcsával fejti vissza a jelszót.
8. Az ügynök szabványos Windows API-k használatával érvényesíti a felhasználónevet és a jelszót az Active Directoryban, ami hasonló mechanizmus a Active Directory összevonási szolgáltatások (AD FS) (AD FS) által használthoz. A felhasználónév lehet általában a helyszíni alapértelmezett felhasználónév, userPrincipalNamevagy a Microsoft Entra Csatlakozás (más néven Alternate ID).
9. A helyi Active Directory tartományvezérlő (DC) kiértékeli a kérést, és visszaadja a megfelelő választ (sikeres, sikertelen, lejárt jelszó vagy felhasználó zárolt) az ügynöknek.
10. A hitelesítési ügynök viszont visszaadja ezt a választ a Microsoft Entra-azonosítónak.
11. A Microsoft Entra ID kiértékeli a választ, és szükség szerint válaszol a felhasználónak. A Microsoft Entra ID például azonnal aláírja a felhasználót, vagy többtényezős Microsoft Entra-hitelesítést kér.
12. Ha a felhasználó bejelentkezése sikeres, a felhasználó hozzáférhet az alkalmazáshoz.

Az alábbi ábra az összes összetevőt és az érintett lépéseket mutatja be:

További lépések

• Jelenlegi korlátozások: Megtudhatja, hogy mely forgatókönyvek támogatottak, és melyek nem.
• Rövid útmutató: A Microsoft Entra átmenő hitelesítésének megkezdése és futtatása.
• Alkalmazások migrálása a Microsoft Entra-azonosítóba: Erőforrások az alkalmazáshozzáférés és a hitelesítés Microsoft Entra-azonosítóba való migrálásához.
• Intelligens zárolás: Konfigurálja a bérlő intelligens zárolási funkcióját a felhasználói fiókok védelme érdekében.
• Gyakori kérdések: Gyakori kérdésekre adott válaszok.
• Hibaelhárítás: Megtudhatja, hogyan háríthatja el az átmenő hitelesítés funkcióval kapcsolatos gyakori problémákat.
• Security Deep Dive: Részletes technikai információk az átmenő hitelesítés funkcióról.
• Microsoft Entra hibrid illesztés: Konfigurálja a Microsoft Entra hibrid csatlakoztatási képességét a bérlőn az egyszeri bejelentkezéshez a felhőben és a helyszíni erőforrásokban.    
• Microsoft Entra közvetlen egyszeri bejelentkezés: További információ erről a kiegészítő funkcióról.
• UserVoice: A Microsoft Entra fórumával új funkciókéréseket küldhet.