Accesso utente con l'autenticazione pass-through di Azure Active Directory

L'autenticazione pass-through di Azure Active Directory

L'autenticazione pass-through di Azure Active Directory (Azure AD) consente agli utenti di accedere sia ad applicazioni in locale che a quelle basate sul cloud usando le stesse password. Questa funzionalità offre agli utenti un'esperienza migliore, visto che hanno una password in meno da ricordare, e riduce i costi del supporto tecnico poiché è meno probabile che gli utenti dimentichino come eseguire l'accesso. Quando gli utenti eseguono l'accesso usando Azure AD, la funzionalità convalida le loro password direttamente con Active Directory locale.

Questa funzionalità è un'alternativa rispetto alla sincronizzazione dell'hash delle password di Azure AD, che offre alle organizzazioni gli stessi vantaggi dell'autenticazione cloud. Tuttavia, alcune organizzazioni che desiderano rafforzare la sicurezza di Active Directory locale e i criteri password possono scegliere di usare l'autenticazione pass-through. Riesaminare questa guida per confrontare i vari metodi di accesso di Azure AD e per scoprire come scegliere il metodo di accesso appropriato per l'organizzazione.

Azure AD Pass-through Authentication

È possibile combinare l'autenticazione pass-through con la funzionalità Accesso Single Sign-On facile. In questo modo, quando gli utenti accedono ad applicazioni dai computer aziendali all'interno della rete aziendale, non devono digitare la password per eseguire l'accesso.

Vantaggi principali dell'uso dell'autenticazione pass-through di Azure AD

  • Miglioramento dell'esperienza utente
    • Gli utenti usano le stesse password per accedere ad applicazioni in locale e basate su cloud.
    • Gli utenti passano meno tempo con il supporto tecnico per risolvere problemi relativi alle password.
    • Gli utenti possono completare le attività di gestione self-service delle password nel cloud.
  • Facile da distribuire &
    • Non sono necessarie distribuzioni locali o configurazioni di rete complesse.
    • È necessario solo installare un agente leggero in locale.
    • Nessun sovraccarico di gestione. L'agente riceve automaticamente miglioramenti e correzioni di bug.
  • Sicuro
    • Le password locali non vengono mai archiviate nel cloud in alcuna forma.
    • Consente di proteggere gli account utente operando senza problemi con i criteri di accesso condizionale di Azure AD, tra cui l'autenticazione a più fattori (MFA) e l'autenticazione legacy di blocco, e impedendo attacchi di forza bruta alle password.
    • L'agente esegue solo le connessioni in uscita dalla rete. Pertanto, non è necessario installarlo in una rete perimetrale.
    • La comunicazione tra un agente e Azure AD è protetta tramite l'autenticazione basata su certificato. Questi certificati vengono rinnovati automaticamente a intervalli di pochi mesi da Azure AD.
  • Ad elevata disponibilità
    • È possibile installare altri agenti su più server locali per ottenere una disponibilità elevata delle richieste di accesso.

Funzionalità in primo piano

  • Supporta l'accesso utente in tutte le applicazioni basate su browser e nelle applicazioni client di Microsoft Office che usano l'autenticazione moderna.
  • I nomi utente per l'accesso possono essere il nome utente predefinito locale (userPrincipalName) o un altro attributo configurato in Azure AD Connect (noto come Alternate ID).
  • La funzionalità funziona perfettamente con le funzionalità di accesso condizionale , ad esempio Multi-Factor Authentication (MFA) per proteggere gli utenti.
  • Può essere integrata con la gestione delle password self-service basata sul cloud, che include le attività di writeback delle password in Active Directory locale e di protezione delle password tramite il divieto di specificare password usate comunemente.
  • Gli ambienti a più foreste sono supportati se sono presenti relazioni di trust tra le foreste AD e se il routing del suffisso del nome è configurato correttamente.
  • È una funzionalità gratuita e non serve alcuna delle edizioni a pagamento di Azure AD per utilizzarla.
  • Può essere abilitato tramite Azure AD Connessione.
  • Usa un agente leggero locale che resta in ascolto e risponde alle richieste di convalida delle password.
  • L'installazione di più agenti garantisce la disponibilità elevata di richieste di accesso.
  • Protegge gli account locali dagli attacchi di forza bruta alle password nel cloud.

Passaggi successivi