Az - Seamless SSO
Información Básica
Desde la documentación: Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) inicia sesión automáticamente a los usuarios cuando están en sus dispositivos corporativos conectados a la red corporativa. Cuando está habilitado, los usuarios no necesitan escribir sus contraseñas para iniciar sesión en Azure AD, y generalmente, ni siquiera escribir sus nombres de usuario. Esta función proporciona a tus usuarios acceso fácil a tus aplicaciones basadas en la nube sin necesidad de componentes adicionales locales.
Básicamente, Azure AD Seamless SSO inicia sesión a los usuarios cuando están en un PC unido a un dominio local.
Es compatible con tanto PHS (Sincronización de Hash de Contraseña) como PTA (Autenticación de Pase).
El SSO de escritorio utiliza Kerberos para la autenticación. Cuando está configurado, Azure AD Connect crea una cuenta de computadora llamada AZUREADSSOACC$
en el AD local. La contraseña de la cuenta AZUREADSSOACC$
se envía en texto plano a Azure AD durante la configuración.
Los tickets de Kerberos están encriptados utilizando el NTHash (MD4) de la contraseña y Azure AD utiliza la contraseña enviada para descifrar los tickets.
Azure AD expone un punto final (https://autologon.microsoftazuread-sso.com) que acepta tickets de Kerberos. El navegador de la máquina unida al dominio reenvía los tickets a este punto final para el SSO.
Local -> nube
La contraseña del usuario AZUREADSSOACC$
nunca cambia. Por lo tanto, un administrador de dominio podría comprometer el hash de esta cuenta, y luego usarlo para crear tickets plateados para conectarse a Azure con cualquier usuario sincronizado localmente:
Con el hash ahora puedes generar tickets de plata:
Para utilizar el "silver ticket", se deben seguir los siguientes pasos:
Iniciar el Navegador: Se debe abrir Mozilla Firefox.
Configurar el Navegador:
Navegar a
about:config
.Establecer la preferencia para network.negotiate-auth.trusted-uris a los valores especificados:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
Acceder a la Aplicación Web:
Visitar una aplicación web integrada con el dominio AAD de la organización. Un ejemplo común es Office 365.
Proceso de Autenticación:
En la pantalla de inicio de sesión, ingresar el nombre de usuario y dejar en blanco el campo de contraseña.
Para continuar, presionar TAB o ENTER.
Esto no evita la MFA si está habilitada.
Creación de tickets Kerberos para usuarios solo en la nube
Si los administradores de Active Directory tienen acceso a Azure AD Connect, pueden establecer un SID para cualquier usuario en la nube. De esta manera, los tickets Kerberos también se pueden crear para usuarios solo en la nube. El único requisito es que el SID sea un SID adecuado.
Cambiar el SID de los usuarios administradores solo en la nube está bloqueado por Microsoft. Para obtener más información, consultar https://aadinternals.com/post/on-prem_admin/
On-prem -> Nube a través de la Delegación Restringida Basada en Recursos
Cualquiera que pueda administrar cuentas de computadora (AZUREADSSOACC$
) en el contenedor o Unidad Organizativa en la que se encuentre esta cuenta, puede configurar una delegación restringida basada en recursos sobre la cuenta y acceder a ella.
Referencias
Última actualización