Az - Seamless SSO
基本情報
公式ドキュメントから: Azure Active Directory Seamless Single Sign-On(Azure AD Seamless SSO)は、ユーザーが企業ネットワークに接続された企業デバイス上にいるときに自動的にサインインします。有効になっている場合、ユーザーはAzure ADにサインインするためにパスワードを入力する必要がなく、通常はユーザー名さえ入力する必要がありません。この機能により、ユーザーはオンプレミスコンポーネントを追加する必要なく、クラウドベースのアプリケーションに簡単にアクセスできます。
基本的に、Azure AD Seamless SSOは、オンプレミスドメインに参加したPC上にいるユーザーをサインインします。
PHS(Password Hash Sync)およびPTA(Pass-through Authentication)の両方でサポートされています。
デスクトップSSOは、認証にKerberosを使用しています。構成されると、Azure AD ConnectはオンプレミスADにAZUREADSSOACC$
というコンピューターアカウントを作成します。AZUREADSSOACC$
アカウントのパスワードは構成中に平文でAzure ADに送信されます。
KerberosチケットはパスワードのNTHash(MD4)で暗号化され、Azure ADは送信されたパスワードを使用してチケットを復号化します。
Azure ADは、Kerberos チケットを受け入れるエンドポイント(https://autologon.microsoftazuread-sso.com)を公開しています。ドメイン参加済みマシンのブラウザは、SSOのためにこれらのチケットをこのエンドポイントに転送します。
オンプレミス -> クラウド
ユーザー**AZUREADSSOACC$
のパスワードは変更されません**。したがって、ドメイン管理者はこのアカウントのハッシュを妨害し、それを使用して任意のオンプレユーザーを同期してAzureに接続するためのシルバーチケットを作成することができます。
ハッシュを使用して、今後はシルバーチケットを生成できます:
以下はシルバーチケットを利用するために実行すべき手順です:
ブラウザの起動: Mozilla Firefoxを起動します。
ブラウザの設定:
about:config
に移動します。network.negotiate-auth.trusted-uris の設定を指定された値に設定します:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
Webアプリケーションへのアクセス:
組織のAADドメインと統合されたWebアプリケーションにアクセスします。一般的な例としてOffice 365があります。
認証プロセス:
ログオン画面で、ユーザー名を入力し、パスワード欄は空白のままにします。
続行するには、TABキーまたはENTERキーを押します。
これはMFAが有効な場合はバイパスされません
クラウド専用ユーザー向けのKerberosチケットの作成
Active Directory管理者がAzure AD Connectにアクセスできる場合、任意のクラウドユーザーにSIDを設定できます。これにより、クラウド専用ユーザー向けにもKerberos チケットを作成できます。唯一の要件は、SIDが適切なSIDであることです。
クラウド専用の管理者ユーザーのSIDを変更することは、現在Microsoftによってブロックされています。 詳細については、https://aadinternals.com/post/on-prem_admin/を確認してください。
オンプレミス -> クラウドへのリソースベースの制約付き委任を介した移動
このアカウントが含まれるコンテナまたはOU内のコンピューターアカウント(AZUREADSSOACC$
)を管理できる人は、そのアカウントに対してリソースベースの制約付き委任を構成してアクセスできます。
参考文献
最終更新