Sömlös enkel inloggning med Microsoft Entra: Teknisk djupdykning
I den här artikeln får du teknisk information om hur funktionen sömlös enkel inloggning (sömlös enkel inloggning) i Microsoft Entra fungerar.
Hur fungerar Seamless SSO?
Det här avsnittet innehåller tre delar:
- Konfigurationen av funktionen Sömlös enkel inloggning.
- Hur en enkel användarinloggningstransaktion i en webbläsare fungerar med sömlös enkel inloggning.
- Hur en enkel användarinloggningstransaktion på en intern klient fungerar med sömlös enkel inloggning.
Hur fungerar konfigurationen?
Sömlös enkel inloggning är aktiverat med Microsoft Entra Anslut som du ser här. När du aktiverar funktionen utförs följande steg:
- Ett datorkonto (
AZUREADSSOACC
) skapas i din lokal Active Directory (AD) i varje AD-skog som du synkroniserar med Microsoft Entra-ID (med Microsoft Entra Anslut). - Dessutom skapas ett antal Kerberos-tjänsthuvudnamn (SPN) som ska användas under Inloggningsprocessen för Microsoft Entra.
- Datorkontots Kerberos-dekrypteringsnyckel delas på ett säkert sätt med Microsoft Entra-ID. Om det finns flera AD-skogar har varje datorkonto sin egen unika Kerberos-dekrypteringsnyckel.
Viktigt!
Datorkontot AZUREADSSOACC
måste ha starkt skydd av säkerhetsskäl. Endast domänadministratörer ska kunna hantera datorkontot. Kontrollera att Kerberos-delegeringen på datorkontot är inaktiverad och att inget annat konto i Active Directory har delegeringsbehörigheter för AZUREADSSOACC
datorkontot.. Lagra datorkontot i en organisationsenhet (OU) där de är säkra från oavsiktliga borttagningar och där endast domänadministratörer har åtkomst. Kerberos-dekrypteringsnyckeln på datorkontot bör också behandlas som känslig. Vi rekommenderar starkt att du rullar över Kerberos-dekrypteringsnyckeln för AZUREADSSOACC
datorkontot minst var 30:e dag.
Viktigt!
Sömlös enkel inloggning stöder krypteringstyperna AES256_HMAC_SHA1
och AES128_HMAC_SHA1
RC4_HMAC_MD5
för Kerberos. Vi rekommenderar att krypteringstypen för AzureADSSOAcc$
kontot är inställd på AES256_HMAC_SHA1
, eller någon av AES-typerna jämfört med RC4 för ökad säkerhet. Krypteringstypen lagras på msDS-SupportedEncryptionTypes
attributet för kontot i din Active Directory. AzureADSSOAcc$
Om kontokrypteringstypen är inställd på RC4_HMAC_MD5
, och du vill ändra den till en av AES-krypteringstyperna, kontrollerar du att du först rullar över Kerberos-dekrypteringsnyckeln AzureADSSOAcc$
för kontot enligt beskrivningen i dokumentet med vanliga frågor och svar under den relevanta frågan, annars sker inte sömlös enkel inloggning.
När konfigurationen är klar fungerar sömlös enkel inloggning på samma sätt som andra inloggningar som använder integrerad Windows-autentisering (IWA).
Hur fungerar inloggning i webbläsare med Seamless SSO?
Inloggningsflödet i en webbläsare är följande:
Användaren försöker komma åt ett webbprogram (till exempel Outlook Web App – https://outlook.office365.com/owa/) från en domänansluten företagsenhet i företagets nätverk.
Om användaren inte redan är inloggad omdirigeras användaren till microsoft Entra-inloggningssidan.
Användaren skriver in sitt användarnamn på inloggningssidan för Microsoft Entra.
Kommentar
För vissa program hoppas steg 2 och 3 över.
Med Hjälp av JavaScript i bakgrunden utmanar Microsoft Entra-ID webbläsaren, via ett 401 Unauthorized-svar, för att tillhandahålla en Kerberos-biljett.
Webbläsaren begär i sin tur ett ärende från Active Directory för
AZUREADSSOACC
datorkontot (som representerar Microsoft Entra-ID).Active Directory letar upp datorkontot och returnerar en Kerberos-biljett till webbläsaren som krypterats med datorkontots hemlighet.
Webbläsaren vidarebefordrar Kerberos-biljetten som den hämtade från Active Directory till Microsoft Entra ID.
Microsoft Entra ID dekrypterar Kerberos-biljetten, som innehåller identiteten för den användare som är inloggad på företagsenheten med hjälp av den tidigare delade nyckeln.
Efter utvärderingen returnerar Microsoft Entra-ID antingen en token tillbaka till programmet eller ber användaren att utföra ytterligare bevis, till exempel Multi-Factor Authentication.
Om användarinloggningen lyckas kan användaren komma åt programmet.
Följande diagram illustrerar alla komponenter och de steg som ingår.
Sömlös enkel inloggning är opportunistisk, vilket innebär att om den misslyckas återgår inloggningsupplevelsen till sitt vanliga beteende , det vill säga att användaren måste ange sitt lösenord för att logga in.
Hur fungerar inloggning i inbyggda klienter med Seamless SSO?
Inloggningsflödet på en intern klient är följande:
- Användaren försöker komma åt ett internt program (till exempel Outlook-klienten) från en domänansluten företagsenhet i företagets nätverk.
- Om användaren inte redan är inloggad hämtar det interna programmet användarens användarnamn från enhetens Windows-session.
- Appen skickar användarnamnet till Microsoft Entra-ID och hämtar klientorganisationens WS-Trust MEX-slutpunkt. Den här WS-Trust-slutpunkten används uteslutande av funktionen Sömlös enkel inloggning och är inte en allmän implementering av WS-Trust-protokollet på Microsoft Entra ID.
- Appen frågar sedan WS-Trust MEX-slutpunkten för att se om slutpunkten för integrerad autentisering är tillgänglig. Slutpunkten för integrerad autentisering används uteslutande av funktionen Sömlös enkel inloggning.
- Om steg 4 lyckas utfärdas en Kerberos-utmaning.
- Om appen kan hämta Kerberos-biljetten vidarebefordras den till Microsoft Entra-slutpunkten för integrerad autentisering.
- Microsoft Entra ID dekrypterar Kerberos-biljetten och validerar den.
- Microsoft Entra ID loggar in användaren och utfärdar en SAML-token till appen.
- Appen skickar sedan SAML-token till Microsoft Entra ID OAuth2-tokenslutpunkten.
- Microsoft Entra-ID verifierar SAML-token och utfärdar till appen en åtkomsttoken och en uppdateringstoken för den angivna resursen samt en ID-token.
- Användaren får åtkomst till appens resurs.
Följande diagram illustrerar alla komponenter och de steg som ingår.
Nästa steg
- Snabbstart – Kom igång med sömlös enkel inloggning i Microsoft Entra.
- Vanliga frågor och svar – Svar på vanliga frågor.
- Felsökning – Lär dig hur du löser vanliga problem med funktionen.
- UserVoice – för att skicka in nya funktionsbegäranden.