もっと詳しく

パススルー認証は、AzureADでのADFSとパスワードハッシュの同期に代わるものです。 このテクノロジにより、ユーザーはローカルActiveDirectoryに対して認証した後にクラウドアプリにアクセスできます。 たとえば、パススルー認証の構成は、ADFSの構成よりも複雑ではありません。

MarcelKüppersによる最新の投稿 (すべてを見る)

ハイブリッド環境では、多くの企業がすでに単一のクレデンシャル戦略を実装しています。 ユーザーはActiveDirectoryアカウントにログインすると、M365などのパブリッククラウドアプリケーションにアクセスすることもできます。

これは、多くの場合、比較的メンテナンスの多いADFSインフラストラクチャによって実現されます。 パススルー認証は、オンプレミスでのエージェントのインストールのみを必要とする単純な代替手段を提供します。

AzureADConnectの下のAzureポータルで認証ステータスをパススルーします

AzureADConnectの下のAzureポータルで認証ステータスをパススルーします

パススルー認証を使用する利点 ^

では、パススルー認証は、Active Directoryフェデレーションサービス(AD FS)などの他のテクノロジと比較してどのような利点がありますか? いくつかの例が明確にするのに役立ちます:

  • パススルー認証は、Azure AD Connectを介して(サインイン方法として)簡単に構成できます。
  • パススルー認証エージェントはコンパクトで、可用性の高い方法で複数のサーバーにインストールできます(ただし、1つのサーバーに複数のエージェントをインストールすることはできません)。
  • エージェントは、TCPポート443(機能操作用のHTTPS要求)およびポート80を介してAzure ADとアウトバウンド通信するだけです(CRLをダウンロードするためのHTTP要求)。 アウトバウンドポート80および443はほとんどすでに存在するため、ファイアウォールをさらに調整する必要はありません。 許可された
  • DMZに配置する必要はありません。
  • パススルー認証では、Active Directoryに対してオンプレミスで認証が行われるため、パブリッククラウドへのパスワードハッシュ転送は必要ありません。
  • ログインアカウントがADでロックされている場合、ユーザーはM365にもログインできません。
  • パスワードの変更はすぐに有効になります。 レプリケーションウィンドウ(2分)を待つ必要はありません。
  • パススルー認証は、MFAおよび条件付きアクセスポリシーと連携して機能します。
  • クラウドでのセルフサービスパスワードリセット(SSPR)がサポートされています(パスワードライトバック)。

パススルー認証の仕組み ^

認証プロセスを通過する

認証プロセスを通過する

  1. 私の例では、新しいユーザーがクラウドアプリケーションを開きます。
  2. 要求はAzureADにルーティングされ、ユーザーはログインするための資格情報を入力します(Azure ADセキュリティトークンサービスによる応答)。
  3. パスワードは、パススルー認証エージェントの公開キーで暗号化されます(これは、登録されたエージェントごとにAzure SQLに格納されます)。 暗号化されたパスワードは、パススルー認証エージェント(キューに永続的に接続されている)がパスワードを受信するまで、サービスバスキューに残ります。 AD FSとは異なり、クラウドはクレデンシャルをフェッチしてキューで処理します。
  4. パススルー認証エージェントは、アウトバウンド接続を介してユーザー名と暗号化されたパスワードを受け取ります。
  5. オンプレミスシステムのエージェントは、このログインキューを処理し、秘密鍵を使用してパスワードを復号化します。
  6. クレデンシャルは、Win32 LogonUser APIを使用して、オンプレミスのADDSに対して検証されます。
  7. 次に、Active Directoryは要求を検証し、成功、失敗、パスワードの有効期限が切れている、アカウントがロックされている、または資格情報が正しくないことを確認します。
  8. パススルー認証エージェントは、この応答をAzureADに転送します。
  9. この時点で評価が行われ、この結果がログイン要求に関連しているかどうかが判断されます。
  10. 結果が肯定的な場合、ユーザーはアプリケーションにアクセスできます。

ノート: エージェントは相互に通信せず、パブリッククラウドとのみ通信します。 また、複数のエージェントを使用する場合、負荷分散は必要ありません。 エージェントを実行しているWindowsサーバーを強化する必要があります。

パススルー認証の構成 ^

前述のように、パススルー認証は、既にインストールされているAzure Active Directory Connect(AAD Connect)を使用してすばやく構成できます。 ウィザードは、を介して必要な手順をガイドします ユーザーのサインインを変更する タスク。

AAD Connect Wizardは、パススルー認証の構成をガイドします。

AAD Connect Wizardは、パススルー認証の構成をガイドします。

まず、通常どおり、グローバル管理者を介してAzureADに接続する必要があります。

グローバル管理者を使用してAzureActiveDirectoryに接続する

グローバル管理者を使用してAzureActiveDirectoryに接続する

その後、を選択することができます パススルー認証 対応するラジオボタンを介したログインオプション。 さらに、[シングルサインオンを有効にする]チェックボックスはすでにオンになっています。

AADConnectでパススルー認証とSSOを選択する

AADConnectでパススルー認証とSSOを選択する

シングルサインオンを使用する場合は、ローカルドメイン管理者の資格情報を一度確認する必要があります。

オンプレミスドメイン管理者を介したSSOのアクティブ化

オンプレミスドメイン管理者を介したSSOのアクティブ化

パススルー認証の構成は、ここですでに行われています。 この場合、パスワードハッシュ同期は引き続きアクティブ(バックアップ)であり、必要に応じて後で非アクティブ化できます。

AADConnectを使用してパススルー認証構成を完了する

AADConnectを使用してパススルー認証構成を完了する

構成が確認されると、AADConnectパススルー認証エージェントが自動的にインストールされます。 または、Azure Portalからロードして、追加のサーバーに手動でセットアップすることもできます(サーバーコアはサポートされていません)。

要約には、以下の構成手順が示されています。

要約には、以下の構成手順が示されています。

現在、2つの追加のオンプレミスサービスが提供されています。1つは AzureADConnect認証エージェント もう1つは Microsoft Azure AD Connect Agent Updater

Azure ADでは、認証エージェントが正しく通信していることを確認できます。

4sysopsニュースレターを購読してください!

パススルー認証は、AzureADのAzureポータルで確認できます。

パススルー認証は、AzureADのAzureポータルで確認できます。

パススルー認証への追加リンク ^

The post パススルー認証を使用したActiveDirectoryとAzure間のSSOの構成– 4sysops appeared first on Gamingsym Japan.