Az - Seamless SSO
Grundlegende Informationen
Aus den Dokumenten: Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) meldet Benutzer automatisch an, wenn sie sich auf ihren Unternehmensgeräten befinden, die mit Ihrem Unternehmensnetzwerk verbunden sind. Wenn aktiviert, müssen Benutzer ihre Passwörter nicht eingeben, um sich bei Azure AD anzumelden, und normalerweise auch nicht ihre Benutzernamen eingeben. Diese Funktion ermöglicht es Ihren Benutzern, einfachen Zugriff auf Ihre cloudbasierten Anwendungen zu erhalten, ohne zusätzliche lokale Komponenten zu benötigen.
Grundsätzlich meldet Azure AD Seamless SSO Benutzer an, wenn sie sich auf einem lokal verbundenen PC befinden.
Es wird sowohl von PHS (Password Hash Sync) als auch von PTA (Pass-through Authentication) unterstützt.
Desktop SSO verwendet Kerberos zur Authentifizierung. Wenn konfiguriert, erstellt Azure AD Connect ein Computerkonto namens AZUREADSSOACC$
im lokalen AD. Das Passwort des AZUREADSSOACC$
-Kontos wird im Klartext an Azure AD gesendet während der Konfiguration.
Die Kerberos-Tickets werden mit dem NTHash (MD4) des Passworts verschlüsselt, und Azure AD verwendet das gesendete Passwort zum Entschlüsseln der Tickets.
Azure AD stellt einen Endpunkt (https://autologon.microsoftazuread-sso.com) bereit, der Kerberos-Tickets akzeptiert. Der Browser des domänenverbundenen Computers leitet die Tickets an diesen Endpunkt für SSO weiter.
Lokal -> Cloud
Das Passwort des Benutzers AZUREADSSOACC$
ändert sich nie. Daher könnte ein Domänenadministrator den Hash dieses Kontos kompromittieren und ihn dann verwenden, um Silber-Tickets zu erstellen, um sich mit beliebigen lokal synchronisierten Benutzern mit Azure zu verbinden:
Mit dem Hash können Sie jetzt Silbertickets generieren:
Um das Silberticket zu nutzen, sollten die folgenden Schritte ausgeführt werden:
Browser starten: Mozilla Firefox sollte gestartet werden.
Browser konfigurieren:
Navigieren Sie zu
about:config
.Setzen Sie die Einstellung für network.negotiate-auth.trusted-uris auf die angegebenen Werte:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
Zugriff auf die Webanwendung:
Besuchen Sie eine Webanwendung, die in die AAD-Domäne der Organisation integriert ist. Ein häufiges Beispiel ist Office 365.
Authentifizierungsprozess:
Geben Sie am Anmeldebildschirm den Benutzernamen ein und lassen Sie das Passwortfeld leer.
Drücken Sie zur Fortsetzung entweder TAB oder ENTER.
Dies umgeht nicht die MFA, wenn sie aktiviert ist.
Erstellen von Kerberos-Tickets für Cloud-only-Benutzer
Wenn die Active Directory-Administratoren Zugriff auf Azure AD Connect haben, können sie SID für jeden Cloud-Benutzer festlegen. Auf diese Weise können Kerberos-Tickets auch für Cloud-only-Benutzer erstellt werden. Die einzige Voraussetzung ist, dass die SID eine korrekte SID ist.
Die Änderung der SID von Cloud-only-Admin-Benutzern ist jetzt von Microsoft blockiert. Weitere Informationen finden Sie unter https://aadinternals.com/post/on-prem_admin/
On-prem -> Cloud über Ressourcenbasierte eingeschränkte Delegierung
Jeder, der Computerkonten (AZUREADSSOACC$
) im Container oder OU verwalten kann, in dem dieses Konto enthalten ist, kann eine ressourcenbasierte eingeschränkte Delegierung über das Konto konfigurieren und darauf zugreifen.
Referenzen
Last updated