Microsoft Entra 直通身份验证:技术深入探讨

本文概述了 Microsoft Entra 直通身份验证的工作原理。 有关深入的技术和安全信息,请参阅深入了解安全性一文。

Microsoft Entra 直通身份验证的工作原理是什么?

注意

作为使直通身份验证正常工作的先决条件,需要使用 Microsoft Entra Connect 从本地 Active Directory 将用户预配到 Microsoft Entra ID。 直通身份验证不适用于仅限云的用户。

当用户尝试登录到由 Microsoft Entra ID 保护的应用程序时,如果已在租户中启用直通身份验证,会发生以下情况:

  1. 用户尝试访问某个应用程序,例如 Outlook Web 应用
  2. 如果用户尚未登录,则会被重定向到 Microsoft Entra ID“用户登录”页。
  3. 用户在 Microsoft Entra 登录页中输入其用户名,然后选择“下一步”按钮。
  4. 用户在 Microsoft Entra 登录页中输入其密码,然后选择“登录”按钮。
  5. 收到登录请求后,Microsoft Entra ID 将该用户名和密码(已使用身份验证代理的公钥加密)排入队列。
  6. 本地身份验证代理从队列中检索用户名和已加密的密码。 请注意,代理不会频繁地从队列中轮询请求,但会通过预先建立的持久性连接检索请求。
  7. 代理使用其私钥解密密码。
  8. 代理使用标准 Windows API(类似于 Active Directory 联合身份验证服务 (AD FS) 使用的机制)针对 Active Directory 验证该用户名和密码。 用户名可以是本地默认用户名(通常为 userPrincipalName),也可以是在 Microsoft Entra Connect 中配置的另一个属性(称为 Alternate ID)。
  9. 本地 Active Directory 域控制器 (DC) 将评估请求并向代理返回适当的响应(成功、失败、密码过期或用户被锁定)。
  10. 身份验证代理转而将此响应返回给 Microsoft Entra ID。
  11. Microsoft Entra ID 评估响应,并相应地向用户提供响应。 例如,Microsoft Entra ID 会立即让用户登录或请求 Microsoft Entra 多重身份验证。
  12. 如果用户登录成功,则该用户可以访问应用程序。

下图说明了所涉及的所有组件和步骤:

Pass-through Authentication

后续步骤