Autentikasi Pass-through Microsoft Azure Active Directory: Pemahaman mendalam secara teknis

Artikel ini adalah gambaran umum cara kerja Autentikasi Pass-through Azure Active directory (Azure AD). Untuk informasi teknis dan keamanan yang mendalam, lihat artikel Pemahaman mendalam tentang keamanan.

Bagaimana cara kerja Autentikasi Pass-through Azure Active Directory?

Catatan

Sebagai prasyarat Autentikasi Pass-through bisa berfungsi, pengguna perlu diprovisikan ke Azure AD dari Direktori Aktif lokal menggunakan Azure AD Connect. Autentikasi Pass-through tidak berlaku untuk pengguna hanya cloud.

Saat pengguna mencoba masuk ke aplikasi yang diamankan oleh Azure AD, dan jika Autentikasi Pass-through diaktifkan pada tenant, langkah-langkah berikut ini terjadi:

  1. Pengguna mencoba mengakses aplikasi, misalnya Outlook Web App.
  2. Jika pengguna belum masuk, pengguna dialihkan ke halaman Masuk Pengguna Azure AD.
  3. Pengguna memasukkan nama pengguna mereka ke halaman masuk Azure AD, lalu memilih tombol Berikutnya.
  4. Pengguna memasukkan kata sandi mereka ke halaman masuk Azure AD, lalu memilih tombol Masuk.
  5. Azure AD, saat menerima permintaan untuk masuk, menempatkan nama pengguna dan kata sandi (dienkripsi menggunakan kunci publik Agen Autentikasi) dalam antrean.
  6. Agen Autentikasi lokal mengambil nama pengguna dan kata sandi terenkripsi dari antrean. Penting diketahui bahwa Agen tidak sering melakukan polling untuk permintaan dari antrean, tetapi mengambil permintaan melalui koneksi persisten yang telah dibuat sebelumnya.
  7. Agen mendekripsi kata sandi dengan menggunakan kunci pribadinya.
  8. Agen memvalidasi nama pengguna dan kata sandi terhadap Direktori Aktif menggunakan Windows API standar, yang merupakan mekanisme serupa dengan apa yang digunakan Active Directory Federation Services (AD FS). Nama pengguna dapat berupa nama pengguna default lokal, biasanya userPrincipalName, atau atribut lain yang dikonfigurasi di Azure AD Connect (dikenal dengan Alternate ID).
  9. Pengontrol domain (DC) Active Directory lokal mengevaluasi permintaan dan mengembalikan respons yang sesuai (keberhasilan, kegagalan, kata sandi kedaluwarsa, atau pengguna terkunci) ke agen.
  10. Agen Autentikasi, pada gilirannya, mengembalikan respons ini kembali ke Azure AD.
  11. Azure AD mengevaluasi respons dan merespons pengguna sebagaimana mestinya. Misalnya, Azure AD segera menandatangani pengguna atau permintaan untuk Autentikasi Multifaktor Azure AD.
  12. Jika masuk pengguna berhasil, pengguna tersebut dapat mengakses aplikasi.

Diagram berikut ini mengilustrasikan semua komponen dan langkah-langkah yang terlibat:

Pass-through Authentication

Langkah berikutnya