Az AD Connect - Hybrid Identity
기본 정보
**온프레미스 Active Directory (AD)**와 Azure AD 간의 통합은 Azure AD Connect에 의해 용이하게 이루어지며 **단일 로그인 (SSO)**을 지원하는 다양한 방법을 제공합니다. 각 방법은 유용하지만 클라우드 또는 온프레미스 환경을 침해할 수 있는 잠재적인 보안 취약점을 제시합니다:
Pass-Through Authentication (PTA):
온프레미스 AD의 에이전트가 침해되어 Azure 연결(온프레미스에서 클라우드로)을 위한 사용자 암호를 확인할 수 있음.
새 위치(클라우드에서 온프레미스로)에서 인증을 확인하기 위해 새로운 에이전트를 등록할 수 있음.
Password Hash Sync (PHS):
AD에서 특권 사용자의 평문 암호, 고특권 자동 생성된 AzureAD 사용자의 자격 증명을 추출할 수 있음.
Federation:
SAML 서명에 사용되는 개인 키를 도난당하여 온프레미스 및 클라우드 신원을 가장할 수 있음.
Seamless SSO:
AZUREADSSOACC사용자의 암호를 도난당하여 Kerberos 실버 티켓에 서명하는 데 사용되며 어떤 클라우드 사용자든 가장할 수 있음.
Cloud Kerberos Trust:
AzureAD 사용자 이름 및 SID를 조작하고 AzureAD에서 TGT를 요청하여 글로벌 관리자에서 온프레미스 도메인 관리자로 승격할 수 있음.
기본 애플리케이션:
애플리케이션 관리자 계정 또는 온프레미스 동기화 계정을 침해하여 디렉터리 설정, 그룹 멤버십, 사용자 계정, SharePoint 사이트 및 OneDrive 파일을 수정할 수 있음.
각 통합 방법마다 사용자 동기화가 수행되며 온프레미스 AD에 MSOL_<installationidentifier> 계정이 생성됩니다. 특히 PHS 및 PTA 방법은 Seamless SSO를 용이하게 하여 온프레미스 도메인에 가입된 Azure AD 컴퓨터에 대한 자동 로그인을 가능하게 합니다.
Azure AD Connect 설치를 확인하기 위해 다음 PowerShell 명령을 사용할 수 있습니다. 이 명령은 Azure AD Connect와 함께 기본적으로 설치되는 AzureADConnectHealthSync 모듈을 활용합니다:
Last updated
