Last updated
Από τα έγγραφα: Η Απρόσκοπτη Ενιαία Σύνδεση (Azure AD Seamless SSO) του Azure Active Directory αυτοματοποιεί την είσοδο των χρηστών όταν βρίσκονται στις εταιρικές συσκευές τους που είναι συνδεδεμένες στο εταιρικό δίκτυο σας. Όταν είναι ενεργοποιημένη, οι χρήστες δεν χρειάζεται να πληκτρολογήσουν τους κωδικούς πρόσβασής τους για να συνδεθούν στο Azure AD, και συνήθως, ακόμα και τα ονόματα χρηστών τους. Αυτή η λειτουργία παρέχει στους χρήστες εύκολη πρόσβαση στις εφαρμογές που βρίσκονται στον νέφος χωρίς να χρειάζονται επιπλέον συστατικά στον τοπικό χώρο.
Βασικά, η Απρόσκοπτη Ενιαία Σύνδεση του Azure AD συνδέει τους χρήστες όταν βρίσκονται σε έναν τοπικό υπολογιστή που έχει ενταχθεί στον τοπικό τομέα.
Υποστηρίζεται από το PHS (Password Hash Sync) και το PTA (Pass-through Authentication).
Η Απρόσκοπτη Ενιαία Σύνδεση του επιτραπέζιου υπολογιστή χρησιμοποιεί το Kerberos για την πιστοποίηση. Όταν ρυθμίζεται, η Azure AD Connect δημιουργεί έναν λογαριασμό υπολογιστή με το όνομα AZUREADSSOACC$ στον τοπικό τομέα. Ο κωδικός πρόσβασης του λογαριασμού AZUREADSSOACC$ αποστέλλεται ως απλό κείμενο στο Azure AD κατά τη διάρκεια της ρύθμισης.
Τα εισιτήρια Kerberos κρυπτογραφούνται χρησιμοποιώντας το NTHash (MD4) του κωδικού πρόσβασης και η Azure AD χρησιμοποιεί τον απεσταλμένο κωδικό για να αποκρυπτογραφήσει τα εισιτήρια.
Η Azure AD αποκαλύπτει ένα σημείο πρόσβασης (https://autologon.microsoftazuread-sso.com) που δέχεται εισιτήρια Kerberos. Ο περιηγητής του υπολογιστή που έχει ενταχθεί στον τομέα προωθεί τα εισιτήρια σε αυτό το σημείο πρόσβασης για την Απρόσκοπτη Ενιαία Σύνδεση.
Ο κωδικός πρόσβασης του χρήστη AZUREADSSOACC$ δεν αλλάζει ποτέ. Επομένως, ένας διαχειριστής του τομέα μπορεί να αποκτήσει το hash αυτού του λογαριασμού και στη συνέχεια να το χρησιμοποιήσει για να δημιουργήσει ασημένια εισιτήρια για να συνδεθεί στο Azure με οποιονδήποτε συγχρονισμένο χρήστη από τον τοπικό χώρο.
Με το hash μπορείτε τώρα να δημιουργήσετε ασημένια εισιτήρια:
Για να χρησιμοποιήσετε το silver ticket, πρέπει να ακολουθήσετε τα παρακάτω βήματα:
Εκκίνηση του προγράμματος περιήγησης: Πρέπει να εκκινήσετε το Mozilla Firefox.
Ρύθμιση του προγράμματος περιήγησης:
Πλοηγηθείτε στη διεύθυνση about:config.
Ορίστε την προτίμηση για το network.negotiate-auth.trusted-uris στις καθορισμένες τιμές:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
Πρόσβαση στην Ιστοσελίδα:
Επισκεφθείτε μια ιστοσελίδα που είναι ενσωματωμένη με τον τομέα AAD του οργανισμού. Ένα κοινό παράδειγμα είναι το Office 365.
Διαδικασία Πιστοποίησης:
Στην οθόνη σύνδεσης, πρέπει να εισαγάγετε το όνομα χρήστη, αφήνοντας κενό το πεδίο κωδικού πρόσβασης.
Για να προχωρήσετε, πατήστε TAB ή ENTER.
Αυτό δεν παρακάμπτει την ενεργοποιημένη πολυπαραγοντική πιστοποίηση (MFA)
Εάν οι διαχειριστές του Active Directory έχουν πρόσβαση στο Azure AD Connect, μπορούν να ορίσουν το SID για οποιονδήποτε χρήστη στο cloud. Με αυτόν τον τρόπο, μπορούν να δημιουργηθούν εισιτήρια Kerberos και για χρήστες μόνο στο cloud. Η μόνη απαίτηση είναι ότι το SID είναι ένα έγκυρο SID.
Η αλλαγή του SID των διαχειριστών μόνο στο cloud είναι πλέον αποκλεισμένη από τη Microsoft. Για περισσότερες πληροφορίες, ελέγξτε το https://aadinternals.com/post/on-prem_admin/
Οποιοσδήποτε μπορεί να διαχειριστεί τους λογαριασμούς υπολογιστών (AZUREADSSOACC$) στον κατάλογο ή τη μονάδα οργάνωσης στην οποία βρίσκεται αυτός ο λογαριασμός, μπορεί να διαμορφώσει μια περιορισμένη ανάθεση βάσεων πόρων πάνω στον λογαριασμό και να έχει πρόσβαση σε αυτόν.
