Az AD Connect - Hybrid Identity
Osnovne informacije
Integracija između On-premises Active Directory (AD) i Azure AD je omogućena putem Azure AD Connect-a, koji nudi različite metode koje podržavaju Single Sign-on (SSO). Svaka metoda, iako korisna, predstavlja potencijalne sigurnosne ranjivosti koje mogu biti iskorišćene za kompromitovanje cloud ili on-premises okruženja:
Pass-Through Authentication (PTA):
Moguće kompromitovanje agenta na on-prem AD, omogućavajući validaciju korisničkih lozinki za Azure konekcije (on-prem to Cloud).
Mogućnost registracije novog agenta radi validacije autentifikacija na novoj lokaciji (Cloud to on-prem).
Password Hash Sync (PHS):
Potencijalno izvlačenje lozinki u čistom tekstu privilegovanih korisnika iz AD, uključujući akreditive visoko privilegovanog, automatski generisanog AzureAD korisnika.
Federacija:
Krađa privatnog ključa koji se koristi za SAML potpisivanje, omogućavajući impersonaciju on-prem i cloud identiteta.
Seamless SSO:
Krađa lozinke korisnika
AZUREADSSOACC
, koja se koristi za potpisivanje Kerberos srebrnih tiketa, omogućavajući impersonaciju bilo kog cloud korisnika.
Cloud Kerberos Trust:
Mogućnost eskalacije sa Global Admin na on-prem Domain Admin manipulacijom AzureAD korisničkih imena i SID-ova i zahtevanjem TGT-ova iz AzureAD.
Default Applications:
Kompromitovanje naloga Application Administratora ili on-premise Sync naloga omogućava modifikaciju postavki direktorijuma, članstva u grupama, korisničkih naloga, SharePoint sajtova i OneDrive fajlova.
Za svaku metodu integracije, sinhronizacija korisnika se vrši, i kreira se nalog MSOL_<installationidentifier>
u on-prem AD. Posebno, kako PHS tako i PTA metode omogućavaju Seamless SSO, omogućavajući automatsku prijavu za Azure AD računare koji su pridruženi on-prem domenu.
Da biste proverili instalaciju Azure AD Connect-a, možete koristiti sledeću PowerShell komandu, koristeći AzureADConnectHealthSync modul (koji je podrazumevano instaliran sa Azure AD Connect-om):
Last updated