Verstehen, was Azure AD-Verbund wirklich bedeutet

Aber wenn Sie den Unterschied nicht kennen, kann dies zu unnötigen Anstrengungen führen.

Wenn Unternehmen mehr Dienste in die öffentliche Cloud von Microsoft Azure verschieben, können Benutzer von der SSO-Authentifizierung (Single Sign-On) profitieren. Ohne SSO müssen Benutzer mit mehreren Anmeldeinformationssätzen jonglieren, um eine Verbindung zu verschiedenen SaaS-Apps wie Office 365 herzustellen.

Benutzer finden es möglicherweise einfacher, unsichere, aber leicht zu merkende Kennwörter zu erstellen. Bei SSO meldet sich der Benutzer nur einmal an und lässt Active Directory (AD) die anderen Authentifizierungsaufgaben übernehmen. Die Bequemlichkeit eines starken Satzes einzelner Anmeldeinformationen, nämlich AD-Domänenanmeldeinformationen, die in SSO verwendet werden, kann Administratoren dabei helfen, die Sicherheit im gesamten Unternehmen zu erhöhen.

Azure AD Connect entsperrt Single Sign-On-Funktionen

Administratoren verwenden das Dienstprogramm Azure AD Connect, um die lokalen Active Directory-Domänendienste (AD DS) auf den Azure AD-Mandanten in der Microsoft-Cloud auszudehnen. Das Tool kann bei Bedarf mehrmals ausgeführt werden.

Azure AD Connect-Assistent
Der Azure Active Directory Connect-Assistent richtet die gewünschte SSO-Methode ein.

Azure AD Connect bietet verschiedene Methoden unterstütze SSO für hybride Cloud-Identität.

  • Passwort-Hash-Synchronisation: Der einfachste und beliebteste Ansatz für kleine und mittlere Unternehmen.
  • Pass-Through-Authentifizierung: Eine neuere Authentifizierungsmethode. Benutzerkennwörter verlassen niemals die lokale Netzwerkgrenze.
  • Föderation mit AD FS: Verbundidentität mit AD Föderationsdienste (AD FS).

Mit der Kennwort-Hash-Synchronisierung oder der Pass-Through-Authentifizierung können Administratoren Azure AD Seamless SSO verwenden, bei dem Azure AD Connect Kerberos-Authentifizierungstickets zwischen lokalem AD und Azure AD weiterleitet.

Mit der Kennwort-Hash-Synchronisierung oder der Pass-Through-Authentifizierung können Administratoren Azure AD Seamless SSO verwenden, bei dem Azure AD Connect Kerberos-Authentifizierungstickets zwischen lokalem AD und Azure AD weiterleitet.
In diesem Lernprogramm werden die Kennwort-Hash-Synchronisierung und die AD FS-Methoden erläutert.

Die Kennwort-Hash-Synchronisierung verwendet das Zurückschreiben des Kennworts

Die Kennwort-Hash-Synchronisierungsmethode verwendet Azure AD Connect, um neue Azure AD-Benutzerkonten zu erstellen Teilen Sie einen Passwort-Hash mit ihren lokalen Kollegen. Benutzer können sich mit ihren vorhandenen Active Directory-Anmeldeinformationen bei von Azure AD unterstützten Anwendungen anmelden.
Die Option Express-Einstellungen im Azure AD Connect-Assistenten vereinfacht die Konfiguration der Kennwort-Hash-Synchronisierung als Verzeichnisverbindungsmethode. Administratoren, die eine detailliertere Steuerung wünschen, sollten ein benutzerdefiniertes Setup auswählen.
Die folgende Abbildung zeigt, wie bestimmte AD DS-Organisationseinheiten und -Container für die Kontoreplikation ausgewählt werden. Diese Vorgehensweise verhindert Sicherheitsfehler, z. B. das Synchronisieren von AD DS-Dienstkonten mit dem Azure AD-Mandanten.

Konfiguration der Kontosynchronisierung
Administratoren können bestimmte AD DS-Organisationseinheiten und -Domänen zum Synchronisieren auswählen.

Konfigurationsvorbehalte für Administratoren

Administratoren müssen beim Einrichten von SSO mit Kennwort-Hash-Synchronisierung zwei wichtige Punkte beachten:

  • Es ist erforderlich, eine benutzerdefinierte Systemdomäne mit Domänennamen an den Azure AD-Mandanten zu binden.
  • Möglicherweise muss der Domäne ein neues Suffix für den Benutzerprinzipalnamen hinzugefügt und das Suffix an synchronisierte Benutzerkonten angehängt werden.

Die Kennwort-Hash-Synchronisierung erfolgt in eine Richtung, von lokalem AD DS zu Cloud-basiertem Azure AD, es sei denn, die Organisation verwendet eine Premium-Version von Azure AD für die Funktion zum Zurückschreiben von Kennwörtern. Dies ermöglicht es Benutzern Ändern Sie ihr Passwort aus der von Azure AD unterstützten Anwendung, die Azure AD Connect auf die Autoritätsquelle, die lokale AD DS-Domäne, repliziert.
Die Kennwort-Hash-Authentifizierung birgt ein gewisses Risiko, da die Kennwort-Hashes zwischen lokal und der Azure-Cloud hin und her übertragen werden. Um potenzielle Sicherheitsprobleme zu minimieren, können Administratoren ein virtuelles privates Netzwerk oder eine ExpressRoute-Verbindung zu Azure erstellen oder die Pass-Through-Authentifizierungsmethode implementieren.

Konfigurieren von Active Directory-Verbunddiensten
Administratoren konfigurieren AD Federation Services mithilfe der AD FS-Verwaltungskonsole.

Eine Organisation, die nicht über die Ressourcen oder die Notwendigkeit eines tokenbasierten Identitätsverbunds verfügt, sollte die Kennwort-Hash-Synchronisierung zwischen AD DS und Azure AD in Betracht ziehen. Wenn Ihre Geschäfts- und Anwendungsanforderungen ein echtes SSO erfordern, stellen Sie AD FS mit Azure AD Connect bereit.
Es gibt noch eine andere Option. Die Azure AD-Bibliothek bietet schlüsselfertige SSO-Integrationen mit Tausenden beliebter SaaS-Apps wie Salesforce, Concur, Google G Suite und Dropbox. Mit diesen Integrationen von Unternehmensanwendungen abstrahiert Azure AD die gesamte Tokenübergabe. Beispielsweise können Administratoren die Kennwort-Hash-Synchronisierung von lokalem AD DS zu Azure AD konfigurieren und dann ein echtes Verbund-SSO zwischen Azure AD und den SaaS-Partner-Apps durchführen.

Similar Posts

Leave a Reply