Az - Seamless SSO
Informações Básicas
Da documentação: O Logon Único Sem Costura do Azure Active Directory (Azure AD Seamless SSO) automaticamente faz login dos usuários quando estão em seus dispositivos corporativos conectados à sua rede corporativa. Quando habilitado, os usuários não precisam digitar suas senhas para fazer login no Azure AD, e geralmente, nem precisam digitar seus nomes de usuário. Essa funcionalidade fornece aos seus usuários acesso fácil às suas aplicações baseadas em nuvem sem a necessidade de componentes adicionais locais.
Basicamente, o Logon Único Sem Costura do Azure AD faz login dos usuários quando estão em um PC associado a um domínio local.
É suportado tanto por PHS (Sincronização de Hash de Senha) quanto por PTA (Autenticação de Passagem).
O SSO de desktop está usando Kerberos para autenticação. Quando configurado, o Azure AD Connect cria uma conta de computador chamada AZUREADSSOACC$
no AD local. A senha da conta AZUREADSSOACC$
é enviada em texto simples para o Azure AD durante a configuração.
Os tickets Kerberos são criptografados usando o NTHash (MD4) da senha e o Azure AD está usando a senha enviada para descriptografar os tickets.
O Azure AD expõe um endpoint (https://autologon.microsoftazuread-sso.com) que aceita tickets Kerberos. O navegador da máquina associada ao domínio encaminha os tickets para este endpoint para SSO.
Local -> nuvem
A senha do usuário AZUREADSSOACC$
nunca muda. Portanto, um administrador de domínio poderia comprometer o hash dessa conta, e então usá-lo para criar tickets silver para se conectar ao Azure com qualquer usuário local sincronizado:
Com o hash, agora você pode gerar tickets de prata:
Para utilizar o "silver ticket", os seguintes passos devem ser executados:
Iniciar o Navegador: O Mozilla Firefox deve ser lançado.
Configurar o Navegador:
Acesse
about:config
.Defina a preferência para network.negotiate-auth.trusted-uris para os valores especificados:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
Acessar a Aplicação Web:
Visite uma aplicação web integrada ao domínio AAD da organização. Um exemplo comum é Office 365.
Processo de Autenticação:
Na tela de login, o nome de usuário deve ser inserido, deixando o campo de senha em branco.
Para prosseguir, pressione TAB ou ENTER.
Isso não contorna a MFA se estiver habilitada.
Criando tickets Kerberos para usuários exclusivos da nuvem
Se os administradores do Active Directory tiverem acesso ao Azure AD Connect, eles podem definir o SID para qualquer usuário da nuvem. Dessa forma, os tickets Kerberos também podem ser criados para usuários exclusivos da nuvem. O único requisito é que o SID seja um SID adequado.
Alterar o SID de usuários administradores exclusivos da nuvem agora está bloqueado pela Microsoft. Para mais informações, consulte https://aadinternals.com/post/on-prem_admin/
On-prem -> Nuvem via Delegação Constrainda Baseada em Recurso
Qualquer pessoa que possa gerenciar contas de computador (AZUREADSSOACC$
) no contêiner ou Unidade Organizacional em que essa conta está, pode configurar uma delegação constrainda baseada em recurso sobre a conta e acessá-la.
Referências
Última actualización