Az AD Connect - Hybrid Identity
기본 정보
**온프레미스 Active Directory (AD)**와 Azure AD 간의 통합은 Azure AD Connect를 통해 지원되며, **단일 로그인 (SSO)**을 지원하는 다양한 방법을 제공합니다. 각 방법은 유용하지만 클라우드 또는 온프레미스 환경을 침해할 수 있는 잠재적인 보안 취약점을 가지고 있습니다:
Pass-Through Authentication (PTA):
온프레미스 AD의 에이전트가 손상되어 Azure 연결(온프레미스에서 클라우드로)의 사용자 암호를 확인할 수 있음.
새로운 위치에서 인증을 확인하기 위해 새로운 에이전트를 등록할 수 있음 (클라우드에서 온프레미스로).
Password Hash Sync (PHS):
AD에서 특권 사용자의 평문 암호, 특히 고권한 자동 생성 AzureAD 사용자의 자격 증명을 추출할 수 있음.
Federation:
SAML 서명에 사용되는 개인 키를 도난당하여 온프레미스 및 클라우드 신원을 가장할 수 있음.
Seamless SSO:
AZUREADSSOACC
사용자의 암호를 도난당하여 Kerberos 실버 티켓에 서명하는 데 사용되며, 모든 클라우드 사용자를 가장할 수 있음.
Cloud Kerberos Trust:
AzureAD 사용자의 사용자 이름과 SID를 조작하고 AzureAD에서 TGT를 요청함으로써 Global Admin에서 온프레미스 도메인 Admin으로 승격할 수 있음.
Default Applications:
응용 프로그램 관리자 계정 또는 온프레미스 동기화 계정을 침해하여 디렉터리 설정, 그룹 멤버십, 사용자 계정, SharePoint 사이트 및 OneDrive 파일을 수정할 수 있음.
각 통합 방법마다 사용자 동기화가 수행되며, 온프레미스 AD에 MSOL_<installationidentifier>
계정이 생성됩니다. 특히 PHS 및 PTA 방법은 Seamless SSO를 지원하여 온프레미스 도메인에 가입된 Azure AD 컴퓨터의 자동 로그인을 가능하게 합니다.
Azure AD Connect의 설치를 확인하기 위해 다음 PowerShell 명령을 사용할 수 있습니다. 이 명령은 Azure AD Connect와 함께 기본적으로 설치되는 AzureADConnectHealthSync 모듈을 사용합니다.
最終更新