Implementowanie synchronizacji skrótów haseł (PHS) zarządzania

Ukończone

Jak działa synchronizacja skrótów haseł

Synchronizacja skrótów haseł to jedna z metod logowania używana do zapewnienia tożsamości hybrydowej. Azure AD Connect synchronizuje skrót hasła użytkownika z wystąpienia usługi lokalna usługa Active Directory do wystąpienia usługi Azure AD opartego na chmurze.

Grafika przedstawiająca Azure AD Connect przekazuje skrót hasła dla użytkownika między środowiskiem lokalnym i chmurą.

Active Directory Domain Services przechowuje hasła w postaci wartości skrótu reprezentacji rzeczywistego hasła użytkownika. Wartość skrótu jest wynikiem jednokierunkowej funkcji matematycznej (algorytmu wyznaczania wartości skrótu). Nie ma możliwości przywrócenia wyniku tej jednokierunkowej funkcji z powrotem do hasła w postaci zwykłego tekstu. Aby zsynchronizować hasło, Azure AD Connect wyodrębnia skrót hasła z lokalna usługa Active Directory wystąpienia. Dodatkowe przetwarzanie zabezpieczeń jest stosowane do skrótu hasła przed jego zsynchronizowaniem z usługą Azure Active Directory uwierzytelniania. Hasła są synchronizowane dla 1 użytkownika i w kolejności chronologicznej.

Rzeczywisty przepływ danych procesu synchronizacji skrótów haseł jest podobny do synchronizacji danych użytkownika. Hasła są jednak synchronizowane częściej niż standardowe okno synchronizacji katalogów dla innych atrybutów. Proces synchronizacji skrótów haseł jest uruchamiany co 2 minuty. Nie można zmodyfikować częstotliwości tego procesu. Synchronizowanie hasła powoduje zastąpienie istniejącego hasła w chmurze.

Przy pierwszym włączeniu funkcji synchronizacji skrótów haseł wykonuje początkową synchronizację haseł wszystkich użytkowników w zakresie. Nie można jawnie zdefiniować podzestawu haseł użytkowników, które mają być synchronizowane. Jeśli jednak istnieje wiele łączników, można wyłączyć synchronizację skrótów haseł dla niektórych łączników, ale nie dla innych. Po zmianie hasła lokalnego zaktualizowane hasło jest synchronizowane, najczęściej w ciągu kilku minut. Funkcja synchronizacji skrótów haseł automatycznie ponownych prób synchronizacji zakończyła się niepowodzeniem. Jeśli podczas próby synchronizacji hasła wystąpi błąd, w podglądzie zdarzeń zostanie zarejestrowany błąd.

Włączanie synchronizacji skrótów haseł

W przypadku instalowania Azure AD Connect przy użyciu opcji Ustawienia ekspresowe synchronizacja skrótów haseł jest automatycznie włączona. Jeśli używasz ustawień niestandardowych podczas instalowania Azure AD Connect, synchronizacja skrótów haseł jest dostępna na stronie logowania użytkownika.

Włączanie synchronizacji skrótów haseł

Synchronizacja skrótów haseł i standard federal information processing

Jeśli serwer został zablokowany zgodnie z normą FEDERAL Information Processing Standard (FIPS), rozwiązanie MD5 zostanie wyłączone.

Aby włączyć rozwiązanie MD5 do synchronizacji skrótów haseł, wykonaj następujące kroki:

  1. Przejdź do folderu %programfiles%\Azure AD Sync\Bin.

  2. Otwórz miiserver.exe.config.

  3. Przejdź do węzła konfiguracji/środowiska uruchomieniowego na końcu pliku.

  4. Dodaj następujący węzeł: <enforceFIPSPolicy enabled="false"/>

  5. Zapisz zmiany.

Dla porównania ten fragment kodu powinien wyglądać tak:

<configuration>

    <runtime>

        <enforceFIPSPolicy enabled="false"/>

    </runtime>

</configuration>

Korzystanie z serwera PingFederate

Skonfiguruj serwer PingFederate przy użyciu Azure AD Connect, aby skonfigurować federację z domeną, którą chcesz połączyć. Wymagane są następujące wymagania wstępne:

  • PingFederate 8.4 lub nowszy.
  • Certyfikat TLS/SSL dla nazwy usługi federowej, która ma być używana (na przykład sts.contoso.com).

Po wybraniu opcji skonfigurowania federacji przy użyciu serwera PingFederate w programie AD Connect zostanie poproszony o zweryfikowanie domeny, którą chcesz federować. Wybierz domenę z menu rozwijanego.

Azure AD Connect przedstawiający domenę, z którą chcesz utworzyć federację

Skonfiguruj serwer PingFederate jako serwer federatora dla każdej federowej domeny platformy Azure. Następnie wybierz pozycję Eksportuj ustawienia, aby udostępnić te informacje administratorowi serwera PingFederate. Administrator serwera federacyjnych aktualizuje konfigurację i udostępnia adres URL serwera PingFederate oraz numer portu, aby Azure AD Connect mógł zweryfikować ustawienia metadanych.