Autenticazione pass-through di Azure Active Directory: approfondimento tecnicoAzure Active Directory Pass-through Authentication: Technical deep dive

Questo articolo offre una panoramica del funzionamento dell'autenticazione pass-through di Azure Active Directory (Azure AD).This article is an overview of how Azure Active directory (Azure AD) Pass-through Authentication works. Per informazioni approfondite di tipo tecnico e relative alla sicurezza, vedere l'articolo di approfondimento sulla sicurezza.For deep technical and security information, see the Security deep dive article.

Funzionamento dell'autenticazione pass-through di Azure Active DirectoryHow does Azure Active Directory Pass-through Authentication work?

Quando un utente tenta di accedere a un'applicazione Azure Active Directory, se l'autenticazione pass-through è abilitata nel tenant, si verificano i passaggi seguenti:When a user tries to sign in to an application secured by Azure AD, and if Pass-through Authentication is enabled on the tenant, the following steps occur:

  1. L'utente tenta di accedere a un'applicazione, ad esempio Outlook Web App.The user tries to access an application, for example, Outlook Web App.
  2. Se l'utente non ha ancora eseguito l'accesso, viene reindirizzato alla pagina Accesso utente di Azure AD.If the user is not already signed in, the user is redirected to the Azure AD User Sign-in page.
  3. L'utente immette il nome utente e la password nella pagina Accesso utente di Azure AD e quindi seleziona il pulsante Accedi.The user enters their username and password into the Azure AD sign in page, and then selects the Sign in button.
  4. Quando riceve la richiesta di accesso, Azure AD inserisce il nome utente e la password, crittografata con una chiave pubblica, in una coda.Azure AD, on receiving the request to sign in, places the username and password (encrypted by using a public key) in a queue.
  5. Un agente di autenticazione locale recupera il nome utente e la password crittografata dalla coda.An on-premises Authentication Agent retrieves the username and encrypted password from the queue.
  6. L'agente decrittografa la password tramite la chiave privata.The agent decrypts the password by using its private key.
  7. L'agente convalida il nome utente e la password in Active Directory usando le API Windows standard. Questo meccanismo è simile a quello usato da Active Directory Federation Services (AD FS).The agent validates the username and password against Active Directory by using standard Windows APIs, which is a similar mechanism to what Active Directory Federation Services (AD FS) uses. Il nome utente può essere il nome utente predefinito locale (in genere userPrincipalName) o un altro attributo configurato in Azure AD Connect (noto come Alternate ID).The username can be either the on-premises default username, usually userPrincipalName, or another attribute configured in Azure AD Connect (known as Alternate ID).
  8. Il controller di dominio (DC, Domain Controller) di Active Directory locale valuta la richiesta e restituisce all'agente la risposta appropriata che può essere esito positivo, errore, password scaduta o utente bloccato.The on-premises Active Directory domain controller (DC) evaluates the request and returns the appropriate response (success, failure, password expired, or user locked out) to the agent.
  9. L'agente di autenticazione, a sua volta, restituisce la risposta ad Azure AD.The Authentication Agent, in turn, returns this response back to Azure AD.
  10. Azure AD valuta la risposta e risponde all'utente nel modo appropriato.Azure AD evaluates the response and responds to the user as appropriate. Ad esempio, Azure AD esegue l'accesso immediato dell'utente o richiede l'esecuzione dell'autenticazione a più fattori di Azure.For example, Azure AD either signs the user in immediately or requests for Azure Multi-Factor Authentication.
  11. Se l'accesso dell'utente ha esito positivo, l'utente può accedere all'applicazione.If the user sign-in is successful, the user can access the application.

Il diagramma seguente illustra tutti i componenti e i passaggi interessati:The following diagram illustrates all the components and the steps involved:

Autenticazione pass-through

Passaggi successiviNext steps