Как работает система единого входа с использованием учетной записи Microsoft?

Система единого входа (SSO) с использованием учётной записи Microsoft позволяет пользователю входить в несколько систем программного обеспечения с одним набором учётных данных. video2.skills-academy.com empldocs.ru

Процесс авторизации через SSO включает три стороны: пользователь, поставщик SSO (Identity Provider) и сервис (сайт или приложение, доступ к которому нужен пользователю). empldocs.ru

Процесс входа в веб-браузере с использованием функции бесшовного единого входа (SSO): learn.microsoft.com

1. Пользователь пытается получить доступ к веб-приложению с корпоративного устройства, присоединённого к домену, в корпоративной сети. learn.microsoft.com
2. Если пользователь ещё не вошёл в систему, он перенаправляется на страницу входа в Microsoft Entra. learn.microsoft.com
3. Пользователь вводит имя пользователя на странице входа в Microsoft Entra. learn.microsoft.com Для некоторых приложений эти шаги пропускаются. learn.microsoft.com
4. Используя JavaScript в фоновом режиме, Microsoft Entra ID ставит перед браузером задачу предоставить билет Kerberos. learn.microsoft.com
5. Браузер запрашивает токен из Active Directory для учётной записи компьютера, представляющей идентификатор Microsoft Entra. learn.microsoft.com
6. Active Directory находит учётную запись компьютера и возвращает браузеру билет Kerberos, который шифруется с использованием секрета учётной записи компьютера. learn.microsoft.com
7. Браузер пересылает токен Kerberos, полученный от Active Directory, в Microsoft Entra ID. learn.microsoft.com
8. Microsoft Entra ID расшифровывает билет Kerberos, который включает удостоверение пользователя, вошедшего в корпоративное устройство, с помощью ранее переданного ключа. learn.microsoft.com
9. После оценки идентификатор Microsoft Entra либо возвращает маркер обратно приложению, либо просит пользователя выполнить дополнительные доказательства, такие как многофакторная проверка подлинности. learn.microsoft.com
10. При успешном входе в систему пользователь может получить доступ к приложению. learn.microsoft.com

Процесс входа в родном клиенте: learn.microsoft.com

1. Пользователь пытается получить доступ к собственному приложению (например, клиенту Outlook) с корпоративного устройства, присоединённого к домену, в корпоративной сети. learn.microsoft.com
2. Если пользователь ещё не вошёл в систему, собственное приложение извлекает имя пользователя из сеанса Windows устройства. learn.microsoft.com
3. Приложение отправляет имя пользователя в Microsoft Entra ID и получает конечную точку WS-Trust MEX. learn.microsoft.com
4. Приложение отправляет запрос к конечной точке MEX WS-Trust, чтобы определить, доступна интегрированная конечная точка аутентификации. learn.microsoft.com
5. Если шаг 4 завершается успешно, то выдаётся вызов Kerberos. learn.microsoft.com
6. Если приложение может получить билет Kerberos, оно перенаправит его в конечную точку встроенной проверки подлинности Microsoft Entra. learn.microsoft.com
7. Идентификатор Microsoft Entra расшифровывает билет Kerberos и проверяет его. learn.microsoft.com
8. Идентификатор Microsoft Entra выполняет вход пользователя и выдаёт токен SAML для приложения. learn.microsoft.com
9. Затем приложение отправляет токен SAML в конечную точку токена OAuth2 в Microsoft Entra ID. learn.microsoft.com
10. Microsoft Entra ID проверяет SAML-токен и выдаёт токен доступа, токен обновления для указанного ресурса и ID-токен для приложения. learn.microsoft.com
11. Пользователь получает доступ к ресурсу приложения. learn.microsoft.com