Condividi tramite


Autenticazione pass-through di Microsoft Entra: approfondimento tecnico

Questo articolo offre una panoramica del funzionamento dell'autenticazione pass-through di Microsoft Entra. Per informazioni approfondite di tipo tecnico e relative alla sicurezza, vedere l'articolo di approfondimento sulla sicurezza.

Come funziona l'autenticazione pass-through di Microsoft Entra?

Nota

Come prerequisito per il funzionamento dell'autenticazione pass-through, gli utenti devono essere sottoposti a provisioning in Microsoft Entra ID da Active Directory locale usando Microsoft Entra Connessione. La funzionalità di autenticazione pass-through non può essere applicata agli utenti solo cloud.

Quando un utente tenta di accedere a un'applicazione protetta da Microsoft Entra ID e se l'autenticazione pass-through è abilitata nel tenant, si verificano i passaggi seguenti:

  1. L'utente tenta di accedere a un'applicazione, ad esempio Outlook Web App.
  2. Se l'utente non ha già eseguito l'accesso, l'utente viene reindirizzato alla pagina di accesso utente di Microsoft Entra ID.
  3. L'utente immette il proprio nome utente nella pagina di accesso di Microsoft Entra e quindi seleziona il pulsante Avanti .
  4. L'utente immette la password nella pagina di accesso di Microsoft Entra e quindi seleziona il pulsante Accedi .
  5. Microsoft Entra ID, quando riceve la richiesta di accesso, inserisce il nome utente e la password (crittografati usando la chiave pubblica degli agenti di autenticazione) in una coda.
  6. Un agente di autenticazione locale recupera il nome utente e la password crittografata dalla coda. Si noti che l'agente non esegue di frequente il polling per le richieste dalla coda, ma recupera le richieste su una connessione permanente prestabilita.
  7. L'agente decrittografa la password tramite la chiave privata.
  8. L'agente convalida il nome utente e la password in Active Directory usando le API Windows standard. Questo meccanismo è simile a quello usato da Active Directory Federation Services (AD FS). Il nome utente può essere il nome utente predefinito locale, in genere userPrincipalNameo un altro attributo configurato in Microsoft Entra Connessione (noto come Alternate ID).
  9. Il controller di dominio (DC, Domain Controller) di Active Directory locale valuta la richiesta e restituisce all'agente la risposta appropriata che può essere esito positivo, errore, password scaduta o utente bloccato.
  10. L'agente di autenticazione, a sua volta, restituisce questa risposta all'ID Microsoft Entra.
  11. Microsoft Entra ID valuta la risposta e risponde all'utente in base alle esigenze. Ad esempio, Microsoft Entra ID firma immediatamente l'utente o richiede l'autenticazione a più fattori di Microsoft Entra.
  12. Se l'accesso dell'utente ha esito positivo, l'utente può accedere all'applicazione.

Il diagramma seguente illustra tutti i componenti e i passaggi interessati:

Pass-through Authentication

Passaggi successivi