Az - Seamless SSO
Temel Bilgiler
Dokümantasyondan: Azure Active Directory Sorunsuz Tek Oturum Açma (Azure AD Sorunsuz SSO), kullanıcıların kurumsal ağınıza bağlı kurumsal cihazlarında olduğunda otomatik olarak oturum açar. Etkinleştirildiğinde, kullanıcıların Azure AD'ye oturum açmak için şifrelerini girmeleri veya genellikle kullanıcı adlarını bile girmeleri gerekmez. Bu özellik, kullanıcılarınıza ek bir yerel bileşen gerektirmeden bulut tabanlı uygulamalarınıza kolay erişim sağlar.
Temel olarak, Azure AD Sorunsuz SSO, kullanıcıların yerel bir etki alanına katılmış bir PC'de olduğunda otomatik olarak oturum açar.
Bu, hem PHS (Şifre Karma Eşitleme) hem de PTA (Geçiş Yolu Kimlik Doğrulaması) tarafından desteklenmektedir.
Masaüstü SSO, kimlik doğrulama için Kerberos kullanır. Yapılandırıldığında, Azure AD Connect, yerel AD'de AZUREADSSOACC$
adında bir bilgisayar hesabı oluşturur. AZUREADSSOACC$
hesabının şifresi, yapılandırma sırasında düz metin olarak Azure AD'ye gönderilir.
Kerberos biletleri, şifrenin NTHash (MD4) ile şifrelendiği ve Azure AD'nin biletleri çözmek için gönderilen şifreyi kullandığı şekilde şifrelenir.
Azure AD, Kerberos biletlerini kabul eden bir uç nokta (https://autologon.microsoftazuread-sso.com) sunar. Etki alanına katılmış bir makinenin tarayıcısı, SSO için bu uç noktaya biletleri ileterek işlem yapar.
Yerel -> bulut
Kullanıcının AZUREADSSOACC$
hesabının şifresi asla değişmez. Bu nedenle, bir etki alanı yöneticisi bu hesabın hash'ini ele geçirebilir ve ardından herhangi bir senkronize edilmiş yerel kullanıcıyla Azure'a bağlanmak için gümüş biletler oluşturabilir:
Artık hash ile gümüş biletler oluşturabilirsiniz:
Silver biletini kullanmak için aşağıdaki adımlar gerçekleştirilmelidir:
Tarayıcıyı Başlatmak: Mozilla Firefox açılmalıdır.
Tarayıcıyı Yapılandırmak:
about:config
adresine gidin.network.negotiate-auth.trusted-uris tercihini belirtilen değerlere ayarlayın:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
Web Uygulamasına Erişmek:
Kuruluşun AAD etki alanıyla entegre olan bir web uygulamasını ziyaret edin. Yaygın bir örnek Office 365'dir.
Kimlik Doğrulama Süreci:
Giriş ekranında kullanıcı adı girilmeli, şifre alanı boş bırakılmalıdır.
Devam etmek için TAB veya ENTER tuşuna basın.
Bu, etkinse MFA'yı atlamaz.
Yalnızca bulut kullanıcıları için Kerberos biletleri oluşturma
Eğer Active Directory yöneticileri Azure AD Connect'e erişime sahipse, herhangi bir bulut kullanıcısı için SID ayarlayabilirler. Bu şekilde Kerberos biletleri yalnızca bulut kullanıcıları için de oluşturulabilir. Tek gereklilik, SID'in doğru bir SID olmasıdır.
Bulut tabanlı yönetici kullanıcılarının SID'ini değiştirmek artık Microsoft tarafından engellenmektedir. Bilgi için https://aadinternals.com/post/on-prem_admin/ adresini kontrol edin.
Yerel -> Bulut Kaynak Temelli Kısıtlı Delege Aracılığıyla
Bu hesabın bulunduğu konteynerde veya OU'da bilgisayar hesaplarını (AZUREADSSOACC$
) yönetebilen herhangi biri, kısıtlı delege aracılığıyla hesaba erişebilir.
Referanslar
Last updated