Implementera synkronisering av lösenordshash (PHS)
Så här fungerar hash-synkronisering
Synkronisering av lösenordshash är en av inloggningsmetoderna som används för att utföra hybrid-identitet. Microsoft Entra Anslut synkroniserar en hash, av hashen, av en användares lösenord från en lokal Active Directory-instans till en molnbaserad Microsoft Entra-instans.
Active Directory-domän Services lagrar lösenord i form av en hash-värderepresentation av det faktiska användarlösenordet. Ett hashvärde är ett resultat av en enkelriktad matematisk funktion (hashalgoritmen). Det finns ingen metod för att återställa resultatet av en envägsfunktion till versionen av ett lösenord med oformaterad text. För att synkronisera ditt lösenord extraherar Microsoft Entra Anslut sync din lösenordshash från lokal Active Directory-instansen. Extra säkerhetsbearbetning tillämpas på lösenordshash innan den synkroniseras till Microsoft Entra-autentiseringstjänsten. Lösenord synkroniseras per användare och i kronologisk ordning.
Det faktiska dataflödet i synkroniseringsprocessen för lösenordshash liknar synkroniseringen av användardata. Lösenord synkroniseras dock oftare än standardkatalogsynkroniseringsfönstret för andra attribut. Synkroniseringsprocessen för lösenordshash körs var 2:e minut. Du kan inte ändra frekvensen för den här processen. När du synkroniserar ett lösenord skriver det över det befintliga molnlösenordet.
Första gången du aktiverar funktionen för synkronisering av lösenordshash utförs en inledande synkronisering av lösenorden för alla användare inom omfånget. Du kan inte uttryckligen definiera en delmängd av användarlösenord som du vill synkronisera under den första synkroniseringen. När den inledande synkroniseringen är klar kan du konfigurera en selektiv hashsynkronisering för lösenord för framtida synkroniseringar.
Om det finns flera anslutningsappar kan du inaktivera synkronisering av lösenordshash för vissa anslutningsappar men inte andra. När du ändrar ett lokalt lösenord synkroniseras det uppdaterade lösenordet, oftast på några minuter. Funktionen för synkronisering av lösenordshash försöker automatiskt synkronisera om misslyckade synkroniseringsförsök. Om ett fel inträffar under ett försök att synkronisera ett lösenord loggas ett fel i loggboken.
Aktivera hashsynkronisering för lösenord
När du installerar Microsoft Entra Anslut med hjälp av alternativet Express Inställningar aktiveras synkronisering av lösenordshash automatiskt. Om du använder anpassade inställningar när du installerar Microsoft Entra Anslut är synkronisering av lösenordshash tillgänglig på användarens inloggningssida.
Synkronisering av lösenordshash och federal informationsbearbetningsstandard
Om servern är låst enligt FIPS (Federal Information Processing Standard) inaktiveras MD5.
Utför följande steg för att aktivera MD5 för synkronisering av lösenordshash:
- Gå till
%programfiles%\Azure A D Sync\Bin. - Öppna miiserver.exe.config.
- Gå till noden configuration/runtime i slutet av filen.
- Lägg till följande nod:
<enforceFIPSPolicy enabled="false"/> - Spara dina ändringar.
Som referens är det här kodfragmentet hur det ska se ut:
<configuration>
<runtime>
<enforceFIPSPolicy enabled="false"/>
</runtime>
</configuration>
Använda PingFederate
Konfigurera PingFederate med Microsoft Entra Anslut för att konfigurera federation med den domän som du vill ansluta. Följande krav krävs:
- PingFederate 8.4 eller senare.
- Ett TLS/SSL-certifikat för federationstjänstens namn som du tänker använda (till exempel sts.contoso.com).
När du har valt att konfigurera federation med PingFederate i AD Anslut uppmanas du att verifiera den domän som du vill federera. Välj domänen i den nedrullningsbara menyn.
Konfigurera PingFederate som federationsserver för varje federerad Azure-domän. Välj sedan Exportera Inställningar för att dela den här informationen med pingfederate-administratören. Federationsserveradministratören uppdaterar konfigurationen och tillhandahåller PingFederate-serverns URL och portnummer så att Microsoft Entra Anslut kan verifiera metadatainställningarna.