Сквозная проверка подлинности Azure Active Directory Быстрый запускAzure Active Directory Pass-through Authentication: Quick start

Развертывание сквозной аутентификации Azure ADDeploy Azure AD Pass-through Authentication

Сквозная аутентификация Azure Active Directory (Azure AD) позволяет пользователям входить в локальные и облачные приложения, используя те же пароли.Azure Active Directory (Azure AD) Pass-through Authentication allows your users to sign in to both on-premises and cloud-based applications by using the same passwords. В случае ее применения при входе пользователей в систему их пароли проверяются непосредственно в локальной службе Active Directory.Pass-through Authentication signs users in by validating their passwords directly against on-premises Active Directory.

Важно!

Если выполняется переход с AD FS (или других технологий федерации) на сквозную аутентификацию, мы настоятельно рекомендуем следовать нашему подробному руководству по развертыванию, опубликованному здесь.If you are migrating from AD FS (or other federation technologies) to Pass-through Authentication, we highly recommend that you follow our detailed deployment guide published here.

Чтобы развернуть сквозную аутентификацию на клиенте, необходимо выполнить приведенные ниже инструкции.Follow these instructions to deploy Pass-through Authentication on your tenant:

Шаг 1. Проверка соблюдения предварительных требованийStep 1: Check the prerequisites

Выполните указанные ниже предварительные требования.Ensure that the following prerequisites are in place.

В центре администрирования Azure Active DirectoryIn the Azure Active Directory admin center

  1. Создайте облачную учетную запись глобального администратора в клиенте Azure AD.Create a cloud-only global administrator account on your Azure AD tenant. Таким образом, вы сможете управлять конфигурацией клиента, если работа локальных служб завершится сбоем или они станут недоступными.This way, you can manage the configuration of your tenant should your on-premises services fail or become unavailable. Узнайте больше о добавлении облачной учетной записи глобального администратора.Learn about adding a cloud-only global administrator account. Этот шаг очень важен, чтобы не потерять доступ к клиенту.Completing this step is critical to ensure that you don't get locked out of your tenant.
  2. Добавьте одно имя личного домена (или несколько) в клиент Azure AD.Add one or more custom domain names to your Azure AD tenant. Пользователи могут выполнить вход с помощью одного из этих доменных имен.Your users can sign in with one of these domain names.

В локальной средеIn your on-premises environment

  1. Укажите сервер под управлением Windows Server 2012 R2 или более поздней версии для запуска Azure AD Connect.Identify a server running Windows Server 2012 R2 or later to run Azure AD Connect. Включите протокол TLS 1.2 на сервере, если еще не сделали это.If not enabled already, enable TLS 1.2 on the server. Добавьте этот сервер в тот же лес AD, что и пользователей, пароли которых требуется проверить.Add the server to the same Active Directory forest as the users whose passwords you need to validate.

  2. Установите последнюю версию Azure AD Connect на сервер, указанный на предыдущем шаге.Install the latest version of Azure AD Connect on the server identified in the preceding step. Если вы уже используете Azure AD Connect, убедитесь, что установлена версия 1.1.750.0 или выше.If you already have Azure AD Connect running, ensure that the version is 1.1.750.0 or later.

    Примечание

    В Azure AD Connect версий 1.1.557.0, 1.1.558.0, 1.1.561.0 и 1.1.614.0 есть проблема, связанная с синхронизацией хэшей паролей.Azure AD Connect versions 1.1.557.0, 1.1.558.0, 1.1.561.0, and 1.1.614.0 have a problem related to password hash synchronization. Если вы не собираетесь использовать синхронизацию хэшей паролей в сочетании со сквозной аутентификацией, прочитайте заметки о выпуске Azure AD Connect.If you don't intend to use password hash synchronization in conjunction with Pass-through Authentication, read the Azure AD Connect release notes.

  3. Укажите один или несколько дополнительных серверов (под управлением Windows Server 2012 R2 или более поздней версии с включенным протоколом TLS 1.2), на которых необходимо запустить изолированные агенты аутентификации.Identify one or more additional servers (running Windows Server 2012 R2 or later, with TLS 1.2 enabled) where you can run standalone Authentication Agents. Эти дополнительные серверы нужны для обеспечения высокого уровня доступности запросов на вход.These additional servers are needed to ensure the high availability of requests to sign in. Добавьте эти серверы в лес Active Directory, в котором размещены пользователи, пароли которых требуется проверить.Add the servers to the same Active Directory forest as the users whose passwords you need to validate.

    Важно!

    В рабочих средах рекомендуется наличие как минимум 3 агентов аутентификации на клиенте.In production environments, we recommend that you have a minimum of 3 Authentication Agents running on your tenant. Существует системное ограничение в 40 агентов проверки подлинности для каждого клиента.There is a system limit of 40 Authentication Agents per tenant. Все серверы, на которых запущены агенты аутентификации, рекомендуется считать системами уровня 0 (ознакомьтесь со справочником).And as best practice, treat all servers running Authentication Agents as Tier 0 systems (see reference).

  4. Если между серверами и Azure AD настроен брандмауэр, необходимо настроить указанные ниже элементы.If there is a firewall between your servers and Azure AD, configure the following items:

    • Убедитесь, что агенты аутентификации могут передавать исходящие запросы в Azure AD через приведенные ниже порты.Ensure that Authentication Agents can make outbound requests to Azure AD over the following ports:

      Номер портаPort number Как он используетсяHow it's used
      8080 Скачивание списков отзыва сертификатов при проверке SSL-сертификата.Downloads the certificate revocation lists (CRLs) while validating the SSL certificate
      443443 Обработка всего исходящего трафика для службы.Handles all outbound communication with the service
      8080 (необязательно)8080 (optional) Агенты аутентификации передают данные о своем состоянии каждые десять минут через порт 8080, если порт 443 недоступен.Authentication Agents report their status every ten minutes over port 8080, if port 443 is unavailable. Это данные о состоянии отображаются на портале Azure AD.This status is displayed on the Azure AD portal. Порт 8080 не используется для входа пользователей в систему.Port 8080 is not used for user sign-ins.

      Если брандмауэр применяет правила в соответствии с отправляющими трафик пользователями, откройте эти порты для трафика, поступающего от служб Windows, которые работают как сетевая служба.If your firewall enforces rules according to the originating users, open these ports for traffic from Windows services that run as a network service.

    • Если брандмауэр или прокси-сервер поддерживают внесение DNS в список разрешений, то добавьте подключения к *msappproxy.net и *servicebus.windows.net в список разрешений.If your firewall or proxy allows DNS whitelisting, whitelist connections to *.msappproxy.net and *.servicebus.windows.net. Если нет, разрешите доступ к диапазонам IP-адресов центра обработки данных Azure. Список диапазонов IP-адресов обновляется еженедельно.If not, allow access to the Azure datacenter IP ranges, which are updated weekly.

    • Агентам аутентификации требуется доступ к адресам login.windows.net и login.microsoftonline.com для первоначальной регистрации.Your Authentication Agents need access to login.windows.net and login.microsoftonline.com for initial registration. Откройте эти URL-адреса в брандмауэре.Open your firewall for those URLs as well.

    • Для проверки сертификатов Разблокируйте следующие URL-адреса: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, и www .microsoft.com:80.For certificate validation, unblock the following URLs: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80, and www.microsoft.com:80. Так как эти URL-адреса используются для проверки сертификатов в других продуктах Майкрософт, они уже могут быть разблокированы.Since these URLs are used for certificate validation with other Microsoft products you may already have these URLs unblocked.

Шаг 2. Включение компонентаStep 2: Enable the feature

включить сквозную аутентификацию с помощью Azure AD Connect;Enable Pass-through Authentication through Azure AD Connect.

Важно!

Ее можно включить на сервере-источнике или промежуточном сервере Azure AD Connect.You can enable Pass-through Authentication on the Azure AD Connect primary or staging server. Мы настоятельно рекомендуем включить ее на сервере-источнике.It is highly recommended that you enable it from the primary server. Если вы планируете настроить промежуточный сервер Azure AD Connect в будущем, необходимо также выбрать сквозную проверку подлинности в качестве параметра входа. Если выбрать другой вариант, сквозная проверка подлинности в клиенте будет отключена, что приведет к переопределению параметра на сервере-источнике.If you are setting up an Azure AD Connect staging server in the future, you must continue to choose Pass-through Authentication as the sign-in option; choosing another option will disable Pass-through Authentication on the tenant and override the setting in the primary server.

При первой установке Azure AD Connect выберите пользовательский путь установки.If you're installing Azure AD Connect for the first time, choose the custom installation path. На странице Вход пользователя в качестве метода единого входа выберите Сквозная проверка подлинности.At the User sign-in page, choose Pass-through Authentication as the Sign On method. После успешного завершения на том же сервере, где находится Azure AD Connect, будет установлен агент сквозной аутентификации.On successful completion, a Pass-through Authentication Agent is installed on the same server as Azure AD Connect. Кроме того, будет включена функция сквозной проверки подлинности на клиенте.In addition, the Pass-through Authentication feature is enabled on your tenant.

Azure AD Connect выполняет следующие функции: Вход пользователя

Если вы уже установили экземпляр Azure AD Connect (используя экспресс-установку или пользовательский путь установки), выберите задачу Смена имени пользователя для входа в Azure AD Connect и нажмите кнопку Далее.If you have already installed Azure AD Connect by using the express installation or the custom installation path, select the Change user sign-in task on Azure AD Connect, and then select Next. Затем выберите Сквозная проверка подлинности в качестве метода входа.Then select Pass-through Authentication as the sign-in method. После успешного завершения на том же сервере, где находится Azure AD Connect, будет установлен агент сквозной аутентификации. Кроме того, эта функция будет включена в клиенте.On successful completion, a Pass-through Authentication Agent is installed on the same server as Azure AD Connect and the feature is enabled on your tenant.

Azure AD Connect выполняет следующие функции: Изменение параметров входа пользователя

Важно!

Сквозная проверка подлинности — это функция уровня клиента.Pass-through Authentication is a tenant-level feature. При включении она влияет на вход пользователей во всех управляемых доменах в клиенте.Turning it on affects the sign-in for users across all the managed domains in your tenant. При переходе со служб федерации Active Directory (AD FS) на сквозную аутентификацию нужно подождать по крайней мере 12 часов, прежде чем завершать работу инфраструктуры AD FS.If you're switching from Active Directory Federation Services (AD FS) to Pass-through Authentication, you should wait at least 12 hours before shutting down your AD FS infrastructure. Это необходимо, чтобы пользователи могли входить в Exchange ActiveSync во время перехода.This wait time is to ensure that users can keep signing in to Exchange ActiveSync during the transition. Чтобы получить справочные сведения по переходу с AD FS на сквозную аутентификацию, ознакомьтесь с нашим подробным планом развертывания, опубликованным здесь.For more help on migrating from AD FS to Pass-through Authentication, check out our detailed deployment plan published here.

Шаг 3. Тестирование компонентаStep 3: Test the feature

Выполните следующие инструкции, чтобы проверить, правильно ли включена сквозная аутентификация:Follow these instructions to verify that you have enabled Pass-through Authentication correctly:

  1. Войдите в центр администрирования Azure Active Directory, используя учетные данные глобального администратора для клиента.Sign in to the Azure Active Directory admin center with the global administrator credentials for your tenant.
  2. В области слева выберите Azure Active Directory.Select Azure Active Directory in the left pane.
  3. Выберите Azure AD Connect.Select Azure AD Connect.
  4. Убедитесь, что для функции Сквозная проверка подлинности отображается значение Включено.Verify that the Pass-through authentication feature appears as Enabled.
  5. Выберите Сквозная проверка подлинности.Select Pass-through authentication. Откроется область Сквозная проверка подлинности со списком серверов, на которых установлены агенты аутентификации.The Pass-through authentication pane lists the servers where your Authentication Agents are installed.

Центр администрирования Azure Active Directory: область Azure AD Connect

Центр администрирования Azure Active Directory: область сквозной аутентификации

На этом этапе пользователи из всех управляемых доменов клиента смогут выполнять вход с помощью сквозной аутентификации.At this stage, users from all the managed domains in your tenant can sign in by using Pass-through Authentication. Тем не менее пользователи из федеративных доменов будут по-прежнему входить с помощью AD FS или любого другого поставщика служб федерации, настроенного ранее.However, users from federated domains continue to sign in by using AD FS or another federation provider that you have previously configured. При преобразовании федеративного домена в управляемый домен все пользователи из этого домена автоматически начинают использовать вход с помощью сквозной проверки подлинности.If you convert a domain from federated to managed, all users from that domain automatically start signing in by using Pass-through Authentication. Функция сквозной аутентификации пользователей не затрагивает облачных пользователей.The Pass-through Authentication feature does not affect cloud-only users.

Шаг 4. Обеспечение высокой доступностиStep 4: Ensure high availability

Если планируется развернуть сквозную аутентификацию в рабочей среде, следует установить дополнительные изолированные агенты аутентификации.If you plan to deploy Pass-through Authentication in a production environment, you should install additional standalone Authentication Agents. Установите эти агенты аутентификации на серверах, на которых не выполняется Azure AD Connect.Install these Authentication Agent(s) on server(s) other than the one running Azure AD Connect. Эта конфигурация обеспечит высокий уровень доступности для запросов пользователей на вход.This setup provides you with high availability for user sign-in requests.

Важно!

В рабочих средах рекомендуется наличие как минимум 3 агентов аутентификации на клиенте.In production environments, we recommend that you have a minimum of 3 Authentication Agents running on your tenant. Существует системное ограничение в 40 агентов проверки подлинности для каждого клиента.There is a system limit of 40 Authentication Agents per tenant. Все серверы, на которых запущены агенты аутентификации, рекомендуется считать системами уровня 0 (ознакомьтесь со справочником).And as best practice, treat all servers running Authentication Agents as Tier 0 systems (see reference).

Установка нескольких агентов сквозной проверки подлинности обеспечивает высокий уровень доступности, но не детерминированную балансировку нагрузки между агентами проверки подлинности.Installing multiple Pass-through Authentication Agents ensures high availability, but not deterministic load balancing between the Authentication Agents. Чтобы определить, сколько агентов проверки подлинности, необходимые для вашего клиента, рассмотрим пиковое и среднее время загрузки в запросах входа, которые вы ожидаете увидеть в клиенте.To determine how many Authentication Agents you need for your tenant, consider the peak and average load of sign-in requests that you expect to see on your tenant. В качестве измерения производительности один агент аутентификации может обрабатывать от 300 до 400 операций аутентификации в секунду на стандартном сервере с четырехъядерным ЦП и 16 ГБ ОЗУ.As a benchmark, a single Authentication Agent can handle 300 to 400 authentications per second on a standard 4-core CPU, 16-GB RAM server.

Чтобы оценить объем трафика, используйте следующие рекомендации по выбору размеров:To estimate network traffic, use the following sizing guidance:

  • Размер полезных данных каждого запроса составляет (0.5K + 1K * число_агентов) байт, т. е. отправляемых данных из Azure AD в агент аутентификации.Each request has a payload size of (0.5K + 1K * num_of_agents) bytes; i.e., data from Azure AD to the Authentication Agent. Здесь "число_агентов" указывает количество агентов аутентификации, зарегистрированных в клиенте.Here, "num_of_agents" indicates the number of Authentication Agents registered on your tenant.
  • Размер полезных данных каждого ответа составляет 1 КБ, т. е. отправляемых данных из агента аутентификации в Azure AD.Each response has a payload size of 1K bytes; i.e., data from the Authentication Agent to Azure AD.

Для большинства клиентов трех агентов аутентификации, достаточно высокий уровень доступности и емкость.For most customers, three Authentication Agents in total are sufficient for high availability and capacity. Рекомендуется устанавливать агенты аутентификации как можно ближе к контроллерам домена, чтобы сократить задержку входа.You should install Authentication Agents close to your domain controllers to improve sign-in latency.

Чтобы начать, выполните эти инструкции, чтобы загрузить программное обеспечение агента аутентификации.To begin, follow these instructions to download the Authentication Agent software:

  1. Скачайте последнюю версию агента аутентификации (версию 1.5.193.0 или более позднюю). Для этого войдите в центр администрирования Azure Active Directory с учетными данными глобального администратора для клиента.To download the latest version of the Authentication Agent (version 1.5.193.0 or later), sign in to the Azure Active Directory admin center with your tenant's global administrator credentials.
  2. В области слева выберите Azure Active Directory.Select Azure Active Directory in the left pane.
  3. Выберите Azure AD Connect > Сквозная проверка подлинности > Загрузить агент.Select Azure AD Connect, select Pass-through authentication, and then select Download Agent.
  4. Нажмите кнопку Принять условия и скачать.Select the Accept terms & download button.

Центр администрирования Azure Active Directory: кнопка скачивания агента аутентификации

Центр администрирования Azure Active Directory: область агента скачивания

Примечание

Можно также напрямую скачать программное обеспечение агента аутентификации.You can also directly download the Authentication Agent software. Прочитайте и примите условия использования агента аутентификации, прежде чем установить его.Review and accept the Authentication Agent's Terms of Service before installing it.

Развернуть изолированный агент аутентификации можно двумя способами.There are two ways to deploy a standalone Authentication Agent:

Во-первых, это можно сделать интерактивно, просто запустив скачанный исполняемый файл агента аутентификации и указав учетные данные глобального администратора своего клиента при появлении соответствующего запроса.First, you can do it interactively by just running the downloaded Authentication Agent executable and providing your tenant's global administrator credentials when prompted.

Во-вторых, можно создать и запустить сценарий автоматического развертывания.Second, you can create and run an unattended deployment script. Это удобно, если вы хотите одновременно развернуть несколько агентов аутентификации или установить агенты аутентификации на серверах Windows, на которых не включен пользовательский интерфейс или к которым невозможно получить доступ с помощью подключения к удаленному рабочему столу.This is useful when you want to deploy multiple Authentication Agents at once, or install Authentication Agents on Windows servers that don't have user interface enabled, or that you can't access with Remote Desktop. Ниже приведены инструкции по этому способу.Here are the instructions on how to use this approach:

  1. Выполните следующую команду, чтобы установить агент аутентификации: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.Run the following command to install an Authentication Agent: AADConnectAuthAgentSetup.exe REGISTERCONNECTOR="false" /q.

  2. Агент аутентификации можно зарегистрировать в службе с помощью Windows PowerShell.You can register the Authentication Agent with our service using Windows PowerShell. Создайте объект учетных данных PowerShell $cred, содержащий имя пользователя и пароль глобального администратора для вашего клиента.Create a PowerShell Credentials object $cred that contains a global administrator username and password for your tenant. Выполните следующую команду, заменив <username> и <password> на нужные имя пользователя и пароль:Run the following command, replacing <username> and <password>:

     $User = "<username>"
     $PlainPassword = '<password>'
     $SecurePassword = $PlainPassword | ConvertTo-SecureString -AsPlainText -Force
     $cred = New-Object –TypeName System.Management.Automation.PSCredential –ArgumentList $User, $SecurePassword
    
  3. Перейдите в каталог C:\Program Files\Microsoft Azure AD Connect Authentication Agent и запустите следующий сценарий с использованием созданного объекта $cred.Go to C:\Program Files\Microsoft Azure AD Connect Authentication Agent and run the following script using the $cred object that you created:

     RegisterConnector.ps1 -modulePath "C:\Program Files\Microsoft Azure AD Connect Authentication Agent\Modules\" -moduleName "AppProxyPSModule" -Authenticationmode Credentials -Usercredentials $cred -Feature PassthroughAuthentication
    

Важно!

Если на виртуальной машине установлен агент аутентификации, нельзя клонировать виртуальную машину, чтобы настроить другой агент проверки подлинности.If an Authentication Agent is installed on a Virtual Machine, you can't clone the Virtual Machine to setup another Authentication Agent. Этот метод является неподдерживаемый.This method is unsupported.

Шаг 5. Настройте возможность интеллектуальной блокировкиStep 5: Configure Smart Lockout capability

Смарт-блокировка помогает блокировки недобросовестных сторон, пытающимися угадать паролями пользователей или с помощью подбора методы для получения.Smart Lockout assists in locking out bad actors who are trying to guess your users’ passwords or using brute-force methods to get in. Настроив параметры смарт-блокировка в Azure AD и (или) соответствующие блокировки учетных записей в Active Directory на предприятии, атак отфильтровывать прежде чем они достигнут Active Directory.By configuring Smart Lockout settings in Azure AD and / or appropriate lockout settings in on-premises Active Directory, attacks can be filtered out before they reach Active Directory. Чтение в этой статье Дополнительные сведения о том, как настроить параметры смарт-блокировка на клиенте для защиты учетных записей пользователей.Read this article to learn more on how to configure Smart Lockout settings on your tenant to protect your user accounts.

Дальнейшие действияNext steps