Mi az az elsődleges frissítési jogkivonat?

Az elsődleges frissítési jogkivonat (PRT) az Azure AD-hitelesítés kulcsfontosságú összetevője a Windows 10, Windows Server 2016 és újabb verziókban, iOS- és Android-eszközökön. Ez egy olyan JSON-webtoken (JWT), amelyet kifejezetten a Microsoft saját jogkivonatszervezőinek adtak ki, hogy lehetővé tegye az egyszeri bejelentkezést (SSO) az eszközökön használt alkalmazásokban. Ez a cikk részletesen bemutatja, hogyan van kibocsátva, használva és védve egy PRT a Windows 10 eszközökön.

Ez a cikk feltételezi, hogy már tisztában van az Azure AD-ban elérhető különböző eszköz-helyzetekkel, valamint az egyszeri bejelentkezés Windows 10. Az Azure AD-eszközökről a Mi az eszközkezelés az Azure AD-ban? Azure Active Directory.

Fő terminológia és összetevők

A következő Windows a prT kérelmezésének és használatának kulcsfontosságú szerepében játszanak:

  • Cloud Authentication Provider (CloudAP): A CloudAP az Windows bejelentkezéshez használt modern hitelesítésszolgáltató, amely ellenőrzi, hogy a felhasználók bejelentkeznek-e Windows 10 eszközre. A CloudAP egy beépülőmodul-keretrendszert biztosít, amelyre az identitásszolgáltatók építve lehetővé teszik a Windows identitásszolgáltató hitelesítő adatainak használatával történő hitelesítést.
  • Webfiókkezelő (WAM): A WAM az alapértelmezett jogkivonat-közvetítő a Windows 10 eszközökön. A WAM egy beépülőmodul-keretrendszert is biztosít, amelyre az identitásszolgáltatók építhetnek, és amely lehetővé teszi az SSO-t az identitásszolgáltatóra támaszkodó alkalmazásaikban. (Az LTSC Windows Server 2016 buildek nem tartalmazzák)
  • Azure AD CloudAP beépülő modul: Egy, a CloudAP-keretrendszerre épült, Azure AD-specifikus beépülő modul, amely a felhasználói hitelesítő adatokat az Azure AD-ben ellenőrzi a Windows során.
  • Azure AD WAM beépülő modul: A WAM-keretrendszerre épített, Azure AD-specifikus beépülő modul, amely lehetővé teszi az SSO-t az Azure AD-t hitelesítésre támaszkodó alkalmazások számára.
  • Dsreg: Egy Azure AD-specifikus összetevő a Windows 10, amely az eszközregisztrációs folyamatot kezeli az összes eszköz-államra.
  • platformmegbízhatósági modul (TPM): A TPM egy eszközbe épített hardverösszetevő, amely hardveralapú biztonsági funkciókat biztosít a felhasználói és eszköz titkos kulcsokhoz. További részleteket A technológia áttekintése platformmegbízhatósági modul talál.

Mit tartalmaz a PRT?

A PRT-ket általában bármely Azure AD frissítési jogkivonat tartalmazza. Emellett a PRT eszközspecifikus jogcímeket is tartalmaz. Ezek a következők:

  • Eszközazonosító: A PRT egy adott eszköz felhasználójának van kibocsátva. Az eszközazonosító jogcím határozza meg azt az eszközt, amelyről a lekért kérelem ki deviceID lett bocsátva a felhasználó számára. Ezt a jogcímet később a PRT-n keresztül kapott jogkivonatok számára állítják ki. Az eszközazonosító jogcím az eszközállapot vagy a megfelelőség alapján határozza meg a feltételes hozzáférés hitelesítését.
  • Munkamenetkulcs: A munkamenetkulcs egy, az Azure AD hitelesítési szolgáltatása által létrehozott, a PRT részeként kiadott titkosított szimmetrikus kulcs. A munkamenetkulcs birtoklási igazolásként működik, ha a PRT-t más alkalmazások jogkivonatának beszerzésére használják.

Látható, hogy mi van a lekért prT-ben?

A PRT olyan, az Azure AD-ból küldött átlátszatlan blob, amelynek tartalma semmilyen ügyfélösszetevő számára nem ismert. Nem látható, hogy mi található a PRT-ben.

Hogyan van kibocsátva egy PRT?

Az eszközregisztráció előfeltétele az Azure AD-beli eszközalapú hitelesítésnek. A PRT csak a regisztrált eszközökön van kibocsátva a felhasználók számára. Az eszközregisztrációval kapcsolatos további részletekért tekintse meg az Windows Hello és eszközregisztrációvalkapcsolatos cikket. Az eszközregisztráció során a dsreg összetevő két kriptográfiai kulcspárkészletet hoz létre:

  • Eszközkulcs (dkpub/dkpriv)
  • Átviteli kulcs (tkpub/tkpriv)

A titkos kulcsok az eszköz TPM-éhez vannak kötve, ha az eszköz érvényes és működő TPM-et használ, míg a nyilvános kulcsokat a rendszer elküldi az Azure AD-nek az eszközregisztrációs folyamat során. Ezekkel a kulcsokkal érvényesíthető az eszköz állapota a PRT-kérelmek során.

A prT a felhasználóhitelesítés során van kibocsátva egy Windows 10 eszközön két forgatókönyv szerint:

  • Azure AD-hez vagy hibrid Azure AD-hez csatlakozott: A lekért tanúsítványt akkor Windows ki a rendszer, amikor egy felhasználó a szervezeti hitelesítő adataival jelentkezik be. A prT-t az összes Windows 10 hitelesítő adatokkal, például a vállalati jelszóval és Windows Hello meg. Ebben a forgatókönyvben az Azure AD CloudAP beépülő modul a PRT elsődleges hitelesítésszolgáltatója.
  • Azure AD-ban regisztrált eszköz: LEKT-t akkor ad ki a rendszer, amikor egy felhasználó hozzáad egy másodlagos munkahelyi fiókot a Windows 10 eszközéhez. A felhasználók kétféleképpen adhatnak Windows 10 fiókhoz:
    • Fiók hozzáadása az Allow my organization to manage my device prompt after bejelentkezés to an app (például a Outlook)
    • Fiók hozzáadása a Gépház > hozzáférés munkahelyi vagy iskolai > Csatlakozás >

Az Azure AD-ban regisztrált eszközök esetében az Azure AD WAM beépülő modul a PRT elsődleges hitelesítésszolgáltatója, mivel Windows bejelentkezés ezzel az Azure AD-fiókkal nem történik meg.

Megjegyzés

A külső identitásszolgáltatóknak támogatniuk kell a WS-Trust protokollt a PRT-kiállítás engedélyezéséhez Windows 10 eszközökön. A WS-Trust nélkül a PRT nem adhat ki felhasználóknak hibrid Azure AD-hez vagy Azure AD-hez csatlakozott eszközökön. Az ADFS-ben csak felhasználónévvel kevert végpontokra van szükség. Az adfs/services/trust/2005/windowstransport és az adfs/services/trust/13/windowstransport csak intranetes végpontként kell engedélyezni, és NEM szabad extranetes végpontként elérhetővé tenni a Web alkalmazásproxy

Megjegyzés

A rendszer nem értékeli ki az Azure AD feltételes hozzáférési szabályzatokat a LEST-ket

Mennyi a prT élettartama?

A kibocsátott PRT 14 napig érvényes, és folyamatosan megújul, amíg a felhasználó aktívan használja az eszközt.

Hogyan használják a prT-t?

A PRT-t a következő két fő összetevő Windows:

  • Azure AD CloudAP beépülő modul: A Windows során az Azure AD CloudAP beépülő modul lekéréses kérelmet kér az Azure AD-tól a felhasználó által megadott hitelesítő adatok használatával. Emellett gyorsítótárazza a PRT-t, hogy engedélyezze a gyorsítótárazott bejelentkezést, ha a felhasználó nem rendelkezik internetkapcsolattal.
  • Azure AD WAM beépülő modul: Amikor a felhasználók alkalmazásokat próbálnak elérni, az Azure AD WAM beépülő modul a PRT használatával engedélyezi az SSO-t a Windows 10. Az Azure AD WAM beépülő modul a PRT használatával kér frissítési és hozzáférési jogkivonatokat az olyan alkalmazásokhoz, amelyek a WAM-on keresztül kérik a jogkivonat-kérelmeket. Emellett engedélyezi az SSO-t a böngészőkben úgy, hogy a lekéréses kérelmet a böngészők kéréseibe injektálja. Az Windows 10 böngészős SSO-ját a Microsoft Edge (natív), a Chrome (az Windows 10-fiókokon vagy az Office Online-bővítményeken keresztül) vagy a Mozilla Firefox v91+ (Firefox Windows SSO-beállítás)támogatja

Hogyan újul meg a PRT?

A PRT két különböző módszerrel újul meg:

  • Azure AD CloudAP beépülő modul 4 óránként: A CloudAP beépülő modul 4 óránként újítja meg a PRT-t a Windows során. Ha a felhasználónak ez idő alatt nincs internetkapcsolata, a CloudAP beépülő modul megújítja a prT-t, miután az eszköz csatlakozott az internethez.
  • Azure AD WAM beépülő modul az alkalmazás jogkivonat-kérései során: A WAM beépülő modul engedélyezi az SSO-t Windows 10 eszközökön az alkalmazások csendes jogkivonat-kérésének engedélyezésével. A WAM beépülő modul kétféleképpen újíthatja meg a PRT-t a jogkivonat-kérelmek során:
    • Az alkalmazás csendesen kéri a WAM-nak a hozzáférési jogkivonatot, de az alkalmazáshoz nem érhető el frissítési jogkivonat. Ebben az esetben a WAM a PRT használatával kér jogkivonatot az alkalmazáshoz, és egy új lekéréses kérelmet kap vissza a válaszban.
    • Egy alkalmazás egy hozzáférési jogkivonatot kér a WAM-hoz, de a PRT érvénytelen, vagy az Azure AD további engedélyezést igényel (például Azure AD Multi-Factor Authentication). Ebben a forgatókönyvben a WAM interaktív bejelentkezést kezdeményez, amely megköveteli a felhasználótól, hogy újrahitelesítést vagy további ellenőrzést adjon meg, és a sikeres hitelesítés után új lekért kérelem lesz kibocsátva.

ADFS-környezetben a prT megújításához nincs szükség a tartományvezérlő közvetlen rálátására. A PRT megújításához csak az /adfs/services/trust/2005/usernamemixed és /adfs/services/trust/13/usernamemixed végpontok engedélyezettek a proxyn egy WS-Trust protokoll használatával.

Windows jelszóhitelesítéshez csak jelszó módosítása esetén van szükség átviteli végpontokra, PRT-megújításhoz nem.

Megjegyzés

Az Azure AD feltételes hozzáférési szabályzatok nem értékelik ki a prT-ket a megújításkor.

Fő szempontok

  • A PRT-t csak a natív alkalmazáshitelesítés során lehet kibocsátani és megújítani. A PRT nem újul meg és nem lesz kibocsátva a böngésző-munkamenet során.
  • Az Azure AD-hez csatlakozott és hibrid Azure AD-hez csatlakozott eszközökön a CloudAP beépülő modul a PRT elsődleges hitelesítésszolgáltatója. Ha a PRT-t WAM-alapú jogkivonat-kérelem során újítják meg, a LEKÉRÉSes kérelem vissza lesz küldve a CloudAP beépülő modulnak, amely ellenőrzi a PRT érvényességét az Azure AD-val annak elfogadása előtt.

Hogyan védett a PRT?

A prT-t azzal védheti, hogy ahhoz az eszközhöz köti, amelybe a felhasználó bejelentkezett. Az Azure AD és Windows 10 az alábbi módszerekkel engedélyezheti a PRT-védelmet:

  • Az első bejelentkezés során: Az első bejelentkezés során lekéréses kérelmet küld a rendszer az eszközregisztráció során generált eszközkulcs használatával. Érvényes és működő TPM-et használva az eszközkulcsot a TPM biztonságosként használja, ami meggátolja a rosszindulatú hozzáférést. A prT nem lesz kibocsátva, ha a megfelelő eszközkulcs-aláírás nem érvényesíthető.
  • Jogkivonat-kérések és -megújítások során: LEKÉRÉSes kérelem kibocsátása esetén az Azure AD egy titkosított munkamenetkulcsot is kibocsát az eszköznek. A titkosítás a nyilvános átviteli kulccsal (tkpub) történik, amely az eszközregisztráció részeként jön létre és lesz elküldve az Azure AD-nek. Ezt a munkamenetkulcsot csak a TPM által védett titkos átviteli kulccsal (tkpriv) lehet visszafejteni. A munkamenetkulcs az Azure AD-nek küldött kérések birtoklási igazolási (POP-) kulcsa. A munkamenetkulcsot a TPM is védi, és más operációsrendszer-összetevő nem férhet hozzá. A jogkivonat-kérelmeket vagy a PRT-megújítási kérelmeket ez a munkamenetkulcs biztonságosan aláírja a TPM-modulon keresztül, ezért nem lehet illetéktelenül illetéktelenül módosítva. Az Azure AD érvényteleníti az eszközről a megfelelő munkamenetkulcs által nem aláírt kéréseket.

Ezeknek a kulcsoknak a TPM-hez való biztonságossá tétele növeli a prT biztonságát a rosszindulatú támadók számára, akik megpróbálnak ellopni vagy visszajátszani a PRT-t. A TPM használata tehát jelentősen növeli az Azure AD-hez csatlakozott, a hibrid Azure AD-hez és az Azure AD-ben regisztrált eszközök biztonságát a hitelesítő adatok ellopása ellen. A teljesítmény és a megbízhatóság érdekében a TPM 2.0 az ajánlott verzió az összes Azure AD eszközregisztrációs forgatókönyvhöz a Windows 10. A Windows 10 1903-as frissítésével kezdődően az Azure AD megbízhatósági problémák miatt nem használja a TPM 1.2-t a fenti kulcsok egyikéhez sem.

Hogyan védik az alkalmazás tokenjeit és a böngésző cookie-jait?

Alkalmazás-jogkivonatok: Amikor egy alkalmazás a WAM-ban kér jogkivonatot, az Azure AD ki ad egy frissítési jogkivonatot és egy hozzáférési jogkivonatot. A WAM azonban csak a hozzáférési jogkivonatot adja vissza az alkalmazásnak, és a felhasználó adatvédelmi alkalmazásprogramozási felületi (DPAPI-) kulcsával titkosítja a frissítési jogkivonatot a gyorsítótárában. A WAM biztonságosan használja a frissítési jogkivonatot azáltal, hogy a munkamenetkulccsal együtt aláírással további hozzáférési jogkivonatokat ad ki. A DPAPI-kulcsot magában az Azure AD-ban egy Azure AD-alapú szimmetrikus kulcs is biztonságban van. Ha az eszköznek a DPAPI-kulccsal kell visszafejtenie a felhasználói profilt, az Azure AD a munkamenet-kulccsal titkosított DPAPI-kulcsot biztosítja, amelyet a CloudAP beépülő modul a TPM-nek kér visszafejtéséhez. Ez a funkció konzisztenciát biztosít a frissítési jogkivonatok biztonságossá tétele terén, és elkerüli, hogy az alkalmazások saját védelmi mechanizmusokat kerüljenek el.

Böngészőbeli cookie-k: Az Windows 10-ben az Azure AD natív módon támogatja a böngésző SSO-ját a Internet Explorer-ban és a Microsoft Edge-ban, a Google Chrome-ban az Windows 10-fiókok bővítményén keresztül, valamint a Mozilla Firefox v91+ böngészőbeállításokkal. A biztonság nem csupán a cookie-k védelmére készült, hanem a végpontokra is, amelyekre a rendszer elküldi a cookie-kat. A böngésző cookie-jait ugyanúgy védheti, mint a PRT-t, ha a munkamenetkulcsot használja a cookie-k aláíráshoz és védelemhez.

Amikor egy felhasználó böngésző-interakciót kezdeményez, a böngésző (vagy bővítmény) meghív egy natív COM-ügyfélgazdát. A natív ügyfélgazda gondoskodik arról, hogy a lap az engedélyezett tartományok egyikén található. A böngésző más paramétereket is küldhet a natív ügyfél gazdagépének, beleértve a névsértést is, de a natív ügyfél gazdagépe garantálja az állomásnév érvényesítését. A natív ügyfélgazda prT-cookie-t kér a CloudAP beépülő modultól, amely létrehozza és aláírja a TPM által védett munkamenetk kulccsal. Mivel a PRT-cookie-t a munkamenetkulcs aláírja, az illetéktelen módosítás nagyon nehéz. Ez a PRT-cookie az Azure AD kérésfejlécében található annak az eszköznek az ellenőrzéséhez, amelyről az eszköz származik. Ha a Chrome böngészőt használja, csak a natív ügyfél gazdagépének jegyzékfájlján kifejezetten meghatározott bővítmény hívhatja meg, amely megakadályozza, hogy tetszőleges bővítmények is leküldje ezeket a kéréseket. Miután az Azure AD érvényesíti a PRT cookie-t, munkameneti cookie-t ad ki a böngészőnek. Ez a munkamenet-cookie a PRT-hez kiadott munkamenetkulcsot is tartalmazza. Az ezt követő kérések során a rendszer ellenőrzi, hogy a munkamenetkulcs hatékonyan köti-e a cookie-t az eszközhöz, és megakadályozza a máshol való visszajátszást.

Mikor kap egy PRT MFA-jogcímet?

A PRT adott forgatókönyvekben többtényezős hitelesítési (MFA) jogcímet kaphat. Ha egy MFA-alapú PRT-t használnak az alkalmazások jogkivonatának lekéréséhez, a rendszer továbbítja az MFA-jogcímet az alkalmazás jogkivonataiba. Ez a funkció zökkenőmentes felhasználói élményt biztosít a felhasználóknak azáltal, hogy megakadályozza az MFA-kihívást minden olyan alkalmazásnál, amely ezt igényli. A PRT az alábbi módokon kaphat MFA-jogcímet:

  • Bejelentkezés a Windows Hello: Windows Hello for Business lecseréli a jelszavakat, és titkosítási kulcsokkal biztosítja az erős kétfaktoros hitelesítést. Windows Hello vállalati verzió csak az eszközön található felhasználóra vonatkozik, és magának az eszköznek az MFA-t kell kiépíte. Amikor egy felhasználó a vállalati Windows Hello jelentkezik be, a felhasználó prT-hez egy MFA-jogcímet kap. Ez a forgatókönyv azokra a felhasználókra is vonatkozik, akik intelligens kártyával jelentkeznek be, ha az intelligens kártyás hitelesítés MFA-jogcímet hoz létre az ADFS-ből.
    • Mivel Windows Hello for Business többtényezős hitelesítésnek minősül, az MFA-igény maga a PRT frissítésekor frissül, így az MFA-időtartam folyamatosan meg fog bővülni, amikor a felhasználók bejelentkeznek az Windows Hello For Business szolgáltatásba.
  • MFA a WAM interaktív bejelentkezése során: A WAM-fiókon keresztüli jogkivonat-kérés során, ha a felhasználónak MFA-t kell megtennie az alkalmazás eléréséhez, az ezen interakció során megújított LEKÉRÉSes kérelem MFA-jogcímet kap.
    • Ebben az esetben az MFA-jogcím nem frissül folyamatosan, ezért az MFA időtartama a címtárban beállított élettartamon alapul.
    • Ha egy korábbi PRT-t és RT-t használ egy alkalmazáshoz való hozzáféréshez, a PRT és az RT a hitelesítés első igazolásának minősül. Egy új AT-nek kell lennie egy második igazolással és egy nyomtatott MFA-jogcímmal. Ez egy új PRT-t és RT-t is ki fog adni.

Windows 10 minden hitelesítő adathoz egy particionált prT-listát tart fenn. Így minden üzleti, jelszó- vagy intelligens Windows Hello lekért alkalmazáshoz tartozik egy PRT. Ez a particionálás biztosítja, hogy az MFA-jogcímek el vannak különítve a használt hitelesítő adatok alapján, és ne keverődve a jogkivonat-kérések során.

Hogyan érvénytelenül egy PRT?

A prT-t a következő esetekben érvényteleníti a rendszer:

  • Érvénytelen felhasználó: Ha egy felhasználót törölnek vagy letilt az Azure AD-ben, a lekérelmes kérelem érvénytelenné válik, és nem használható alkalmazások jogkivonatának beszerzéséhez. Ha egy törölt vagy letiltott felhasználó már korábban bejelentkezett egy eszközre, a gyorsítótárazott bejelentkezés bejelentkezik, amíg a CloudAP fel nem ismeri az érvénytelen állapotot. Miután a CloudAP megállapítja, hogy a felhasználó érvénytelen, letiltja a további bejelentkezéseket. Az érvénytelen felhasználók számára automatikusan le van tiltva a bejelentkezés az új eszközökre, amelyek nem gyorsítótárazták a hitelesítő adataikat.
  • Érvénytelen eszköz: Ha egy eszközt törölnek vagy le vannak tiltva az Azure AD-ben, az eszközön lekért PRT érvénytelenné válik, és nem használható más alkalmazások jogkivonatának beszerzéséhez. Ha egy felhasználó már be van jelentkezve egy érvénytelen eszközre, továbbra is ezt teszi. Az eszközön található összes jogkivonat azonban érvénytelenné válik, és a felhasználó nem rendelkezik SSO-val az eszköz erőforrásaihoz.
  • Jelszó módosítása: Miután egy felhasználó megváltoztatja a jelszavát, az Azure AD érvényteleníti az előző jelszóval lekért PRT-t. A jelszó módosítása azt váltja ki, hogy a felhasználó új lekért prT-t kap. Ez az érvénytelenítés két különböző módon történhet:
    • Ha a felhasználó az új Windows jelentkezik be, a CloudAP elveti a régi lekéréses kérelmet, és arra kéri az Azure AD-t, hogy új lekéréses kérelmet ad ki az új jelszóval. Ha a felhasználó nem rendelkezik internetkapcsolattal, az új jelszó nem érvényesíthető, Windows a felhasználónak meg kell adnia a régi jelszavát.
    • Ha egy felhasználó régi jelszavával jelentkezett be, vagy az Windows-ba való bejelentkezés után módosította a jelszavát, a rendszer a régi PRT-t használja a WAM-alapú jogkivonat-kérelmekhez. Ebben a forgatókönyvben a rendszer újrahitelesítő kérést kér a felhasználótól a WAM-jogkivonat kérése során, és új LEKÉRÉSes kérelmet ad ki.
  • TPM-problémák: Előfordulhat, hogy egy eszköz TPM-modulja megakad vagy meghiúsul, ami a TPM által védett kulcsok elérhetetlenségét okozhatja. Ebben az esetben az eszköz nem tud lekért prT-t lekért vagy jogkivonatokat lekért egy meglévő PRT használatával, mivel nem tudja igazolni a titkosítási kulcsok birtoklását. Ennek eredményeképpen az Azure AD érvényteleníti a meglévő PRT-eket. Amikor Windows 10 hibát észlel, helyreállítási folyamatot kezdeményez az eszköz új titkosítási kulcsokkal való újra regisztrálására. A hibrid Azure AD-csatlakozással a kezdeti regisztrációhoz hasonló módon a helyreállítás csendes, felhasználói beavatkozás nélkül történik. Az Azure AD-hez csatlakozott vagy az Azure AD-ben regisztrált eszközök esetében a helyreállítást egy olyan felhasználónak kell elvégeznie, aki rendszergazdai jogosultságokkal rendelkezik az eszközön. Ebben a forgatókönyvben a helyreállítási folyamatot egy parancssori Windows, amely végigvezeti a felhasználót az eszköz sikeres helyreállításán.

Részletes folyamatok

Az alábbi diagramok bemutatják az alkalmazás hozzáférési jogkivonatának lekérése lekéréses kérelem kiadásának, megújításának és használatának mögöttes részleteit. Emellett ezek a lépések azt is leírják, hogyan alkalmazzák a fent említett biztonsági mechanizmusokat az interakciók során.

PRT-kiadás az első bejelentkezés során

PRT-kiállítás az első bejelentkezés során – részletes folyamat

Megjegyzés

Az Azure AD-hez csatlakozott eszközök esetében ez az adatcsere szinkron módon történik, és lekért lekért szolgáltatásokat ad ki, mielőtt a felhasználó bejelentkezhet a Windows. A hibrid Azure AD-hez helyi Active Directory az elsődleges hitelesítésszolgáltató. A felhasználó tehát csak addig vár, amíg be nem szerez egy TGT-t a bejelentkezéshez, miközben a PRT-kiadás aszinkron módon történik. Ez a forgatókönyv nem vonatkozik az Azure AD-ban regisztrált eszközökre, mivel a bejelentkezés nem használ Azure AD hitelesítő adatokat.

Lépés Description
A A felhasználó a bejelentkezési felhasználói felületen adja meg a jelszavát. A LogonUI átadja a hitelesítő adatokat egy hitelesítési pufferben az LSA-nak, amely pedig belsőleg továbbítja azt a CloudAP-nak. A CloudAP továbbítja ezt a kérést a CloudAP beépülő modulnak.
B A CloudAP beépülő modul egy, a felhasználó identitásszolgáltatójának azonosítására vonatkozó felderítési kérést kezdeményez. Ha a felhasználó bérlője összevonási szolgáltatóval rendelkezik, az Azure AD visszaadja az összevonási szolgáltató Metaadat-Exchange végpont (MEX) végpontját. Ha nem, az Azure AD visszaadja, hogy a felhasználó felügyelt, jelezve, hogy a felhasználó hitelesíthet az Azure AD-val.
C Ha a felhasználó felügyelt, a CloudAP az Azure AD-től származó nonce-t fogja kapni. Ha a felhasználó összevont, a CloudAP beépülő modul SAML-jogkivonatot kér az összevonási szolgáltatótól a felhasználó hitelesítő adataival. Amint megkapja az SAML-jogkivonatot, értesítést kér az Azure AD-től.
T A CloudAP beépülő modul a felhasználó hitelesítő adataival, a fiókkal és a közvetítői hatókörrel építi fel a hitelesítési kérést, aláírja a kérést az eszközk kulccsal (dkpriv), és elküldi azt az Azure AD-nek. Összevont környezetben a CloudAP beépülő modul az összevonási szolgáltató által visszaadott SAML-jogkivonatot használja a felhasználó hitelesítő adatai helyett.
E Az Azure AD ellenőrzi a felhasználói hitelesítő adatokat, az nonce-t és az eszköz aláírását, ellenőrzi, hogy az eszköz érvényes-e a bérlőben, és ki ad ki titkosított lekért tanúsítványt. A PRT mellett az Azure AD is kiad egy szimmetrikus kulcsot, az Azure AD által titkosított munkamenetkulcsot a Transport key (tkpub) használatával. Emellett a munkamenetkulcs is be van ágyazva a PRT-be. Ez a munkamenetkulcs a lekéréses kérelem későbbi kérései során a tulajdonlás igazolási kulcsaként (PoP) működik.
F A CloudAP beépülő modul átadja a titkosított PRT-t és munkamenetkulcsot a CloudAP-nak. A CloudAP arra kéri a TPM-et, hogy az átviteli kulcs (tkpriv) használatával visszafejtse a munkamenetkulcsot, majd a TPM saját kulcsával titkosítsa újra. A CloudAP a titkosított munkamenetkulcsot a gyorsítótárában tárolja a PRT-val együtt.

PRT megújítása a későbbi bejelentkezések során

PRT megújítása a későbbi bejelentkezések során

Lépés Description
A A felhasználó a bejelentkezési felhasználói felületen adja meg a jelszavát. A LogonUI átadja a hitelesítő adatokat egy hitelesítési pufferben az LSA-nak, amely pedig belsőleg továbbítja azt a CloudAP-nak. A CloudAP továbbítja ezt a kérést a CloudAP beépülő modulnak.
B Ha a felhasználó korábban már bejelentkezett a felhasználóba, a Windows kezdeményezi a gyorsítótárazott bejelentkezést, és érvényesíti a hitelesítő adatokat a felhasználó bejelentkezéshez. A CloudAP beépülő modul 4 óránként aszinkron módon kezdeményezi a PRT megújítását.
C A CloudAP beépülő modul egy, a felhasználó identitásszolgáltatójának azonosítására vonatkozó felderítési kérést kezdeményez. Ha a felhasználó bérlője összevonási szolgáltatóval rendelkezik, az Azure AD visszaadja az összevonási szolgáltató Metaadat-Exchange végpont (MEX) végpontját. Ha nem, az Azure AD azt adja vissza, hogy a felhasználó felügyelt, ami azt jelzi, hogy a felhasználó hitelesíthet az Azure AD-val.
T Ha a felhasználó összevont, a CloudAP beépülő modul SAML-jogkivonatot kér az összevonási szolgáltatótól a felhasználó hitelesítő adataival. Amint megkapja, az SAML-jogkivonat kérést kér az Azure AD-től. Ha a felhasználó felügyelt, a CloudAP közvetlenül az Azure AD-től fogja lekért kapcsolatot.
E A CloudAP beépülő modul a felhasználó hitelesítő adataival, a fiókkal és a meglévő PRT-val építi fel a hitelesítési kérést, aláírja a kérést a munkamenetk kulccsal, és elküldi azt az Azure AD-nek. Összevont környezetben a CloudAP beépülő modul az összevonási szolgáltató által visszaadott SAML-jogkivonatot használja a felhasználó hitelesítő adatai helyett.
F Az Azure AD úgy ellenőrzi a munkamenetkulcs aláírását, hogy összehasonlítja azt a PRT-be ágyazott munkamenetkulcsokkal, ellenőrzi a nonce-t, és ellenőrzi, hogy az eszköz érvényes-e a bérlőben, és új prT-t ad ki. Ahogy korábban láthatta, a PRT-t ismét az átviteli kulccsal (tkpub) titkosított munkamenetkulcs kíséri.
G A CloudAP beépülő modul továbbítja a titkosított PRT-t és munkamenetkulcsot a CloudAP-nak. A CloudAP arra kéri a TPM-et, hogy az átviteli kulcs (tkpriv) használatával visszafejtse a munkamenetkulcsot, és a TPM saját kulcsával titkosítsa újra. A CloudAP a titkosított munkamenetkulcsot a gyorsítótárában tárolja a prT-val együtt.

Megjegyzés

A prT külsőleg is megújítható VPN-kapcsolat nélkül, ha a felhasználónévvel kevert végpontok külsőleg vannak engedélyezve.

PRT-használat alkalmazás-jogkivonat-kérelmek során

PRT-használat alkalmazás-jogkivonat-kérelmek során

Lépés Description
A Egy alkalmazás (például egy Outlook, OneNote stb.) jogkivonat-kérést kezdeményez a WAM-hoz. A WAM megkéri az Azure AD WAM beépülő modult a jogkivonat-kérelem kiszolgálására.
B Ha az alkalmazáshoz már elérhető frissítési jogkivonat, az Azure AD WAM beépülő modul arra használja, hogy hozzáférési jogkivonatot kérjen. Az eszközkötés igazolásának érdekében a WAM beépülő modul aláírja a kérést a munkamenetk kulccsal. Az Azure AD ellenőrzi a munkamenetkulcsot, és ki ad egy hozzáférési jogkivonatot és egy új frissítési jogkivonatot az alkalmazáshoz, amelyet a munkamenetkulcs titkosít. A WAM beépülő modul a CloudAP beépülő modult kéri a jogkivonatok visszafejtéséhez, amely a TPM-et a munkamenetk kulccsal való visszafejtéséhez kéri, ami azt eredményezi, hogy a WAM beépülő modul mindkét tokent le tudja kérni. Ezután a WAM beépülő modul csak a hozzáférési jogkivonatot biztosítja az alkalmazásnak, a frissítési jogkivonatot pedig újratitkosítja a DPAPI-val, és a saját gyorsítótárában tárolja
C Ha az alkalmazáshoz nem érhető el frissítési jogkivonat, az Azure AD WAM beépülő modul a LEKÉRÉSes kérelem segítségével kér hozzáférési jogkivonatot. A birtoklási igazolás érdekében a WAM beépülő modul aláírja a lekéréses kérelmet tartalmazó kérelmet a munkamenetk kulccsal. Az Azure AD úgy ellenőrzi a munkamenetkulcs-aláírást, hogy összehasonlítja a PRT-be ágyazott munkamenetkulcstal, ellenőrzi, hogy az eszköz érvényes-e, és ki ad egy hozzáférési jogkivonatot és egy frissítési jogkivonatot az alkalmazáshoz. Emellett az Azure AD új LEK-t (a frissítési ciklus alapján) is ki tud adni, amelyek mindegyikét a munkamenetkulcs titkosítja.
T A WAM beépülő modul a CloudAP beépülő modult kéri a jogkivonatok visszafejtéséhez, amely a TPM-et a munkamenetk kulccsal való visszafejtéséhez kéri, ami azt eredményezi, hogy a WAM beépülő modul mindkét tokent le tudja kérni. Ezután a WAM beépülő modul csak a hozzáférési jogkivonatot biztosítja az alkalmazásnak, a frissítési jogkivonatot pedig újratitkosítja a DPAPI-val, és a saját gyorsítótárában tárolja. A WAM beépülő modul az alkalmazásra vonatkozó frissítési jogkivonatot fogja használni. A WAM beépülő modul az új PRT-t is vissza adja a CloudAP beépülő modulnak, amely ellenőrzi a lekért adatokat az Azure AD-val, mielőtt a saját gyorsítótárában frissítené. A CloudAP beépülő modul a 2007-hez használt új PRT-t fogja használni.
E A WAM biztosítja az újonnan kiadott hozzáférési jogkivonatot a WAM-nak, amely pedig vissza biztosítja azt a hívó alkalmazásnak

Böngésző SSO használata PRT használatával

Böngésző SSO használata PRT használatával

Lépés Description
A A felhasználó bejelentkezik a Windows hitelesítő adataival, hogy lekért egy lekért tanúsítványt. Miután a felhasználó megnyitja a böngészőt, a böngésző (vagy bővítmény) betölti az URL-címeket a beállításjegyzékből.
B Amikor egy felhasználó megnyit egy Azure AD bejelentkezési URL-címet, a böngésző vagy bővítmény a beállításjegyzékből származó url-címekkel ellenőrzi az URL-címet. Ha egyeznek, a böngésző meghívja a natív ügyfélgazdát egy jogkivonat lekértértért.
C A natív ügyfélgazda ellenőrzi, hogy az URL-címek a Microsoft identitásszolgáltatóihoz (Microsoft-fiók vagy Azure AD-hez tartoznak-e), kinyeri az URL-címből küldött nonce-t, és hívást küld a CloudAP beépülő modulnak egy PRT-cookie lehívásához.
T A CloudAP beépülő modul létrehozza a PRT cookie-t, bejelentkezik a TPM-hez kötött munkamenetk kulccsal, és visszaküldi a natív ügyfél gazdagépének.
E A natív ügyfél gazdagépe visszaadja ezt a PRT-cookie-t a böngészőnek, amely az x-ms-RefreshTokenCredential nevű kérelemfejléc és az Azure AD-ból származó kérési jogkivonatok részét fogja tartalmazni.
F Az Azure AD érvényesíti a munkamenetkulcs-aláírást a PRT cookie-n, ellenőrzi a főszakját, ellenőrzi, hogy az eszköz érvényes-e a bérlőben, és ki ad egy azonosító jogkivonatot a weblaphoz és egy titkosított munkameneti cookie-t a böngészőhöz.

Megjegyzés

A fenti lépésekben leírt böngészős SSO-folyamat nem vonatkozik olyan privát módú munkamenetek esetében, mint az InPrivate az Microsoft Edge-ban, az Inkognitó a Google Chrome-ban (Microsoft-fiókok bővítmény használata esetén) vagy privát módban a Mozilla Firefox v91+ böngészőben

Következő lépések

A PRT-hez kapcsolódó hibák elhárításával kapcsolatos további információkért tekintse meg a hibrid kapcsolathoz Azure Active Directory és Windows 10 eszközök Windows Server 2016 cikkét.