Az - Seamless SSO
Taarifa Msingi
Kutoka kwa nyaraka: Usajili wa Kuingia Moja (Azure AD Seamless SSO) wa Azure Active Directory (Azure AD Seamless SSO) moja kwa moja inaingiza watumiaji wanapokuwa kwenye vifaa vyao vya kampuni vilivyounganishwa kwenye mtandao wako wa kampuni. Ikiwa imewezeshwa, watumiaji hawahitaji kuingiza nywila zao kuingia kwenye Azure AD, na kawaida, hata kuingiza majina yao ya mtumiaji. Kipengele hiki hutoa watumiaji wako ufikiaji rahisi kwa programu zako zilizoko kwenye wingu bila kuhitaji sehemu za ndani za on-premises.
Kimsingi Azure AD Seamless SSO inaingiza watumiaji wanapokuwa kwenye PC iliyoshirikishwa kwenye kikoa cha on-prem.
Inasaidiwa na PHS (Udhibitishaji wa Hashi ya Nywila) na PTA (Udhibitishaji wa Kupitisha).
SSO ya Desktop inatumia Kerberos kwa uthibitishaji. Ikiwa imeboreshwa, Azure AD Connect inaunda akaunti ya kompyuta inayoitwa AZUREADSSOACC$
kwenye AD ya on-prem. Nywila ya akaunti ya AZUREADSSOACC$
inatumwa kama maandishi wazi kwenda Azure AD wakati wa usanidi.
Tiketi za Kerberos zina fichwa kwa kutumia NTHash (MD4) ya nywila na Azure AD inatumia nywila iliyotumwa kufichua tiketi.
Azure AD inafunua kituo (https://autologon.microsoftazuread-sso.com) kinachokubali tiketi za Kerberos. Kivinjari cha mashine iliyoshirikishwa kwenye kikoa kinapeleka tiketi kwa kituo hiki kwa SSO.
On-prem -> wingu
Nywila ya mtumiaji AZUREADSSOACC$
kamwe haibadiliki. Kwa hivyo, msimamizi wa kikoa anaweza kudhoofisha hashi ya akaunti hii, na kisha kutumia kuunda tiketi za fedha kuunganisha na Azure na mtumiaji yeyote wa on-prem aliyesawazishwa:
Kwa hash sasa unaweza kuzalisha tiketi za fedha:
Kutumia tiketi ya fedha, hatua zifuatazo zinapaswa kutekelezwa:
Anzisha Kivinjari: Mozilla Firefox inapaswa kuzinduliwa.
Sanidi Kivinjari:
Nenda kwa
about:config
.Weka upendeleo kwa network.negotiate-auth.trusted-uris kwa maadili:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
Fikia Programu ya Wavuti:
Tembelea programu ya wavuti iliyounganishwa na kikoa cha AAD cha shirika. Mfano wa kawaida ni Office 365.
Mchakato wa Uthibitisho:
Kwenye skrini ya kuingia, jina la mtumiaji linapaswa kuingizwa, likiacha uga wa nenosiri wazi.
Ili kuendelea, bonyeza TAB au ENTER.
Hii haitoi MFA ikiwa imeanzishwa
Kuunda tiketi za Kerberos kwa watumiaji wa wingu pekee
Ikiwa waendeshaji wa Active Directory wana ufikiaji wa Azure AD Connect, wanaweza kuweka SID kwa mtumiaji yeyote wa wingu. Kwa njia hii tiketi za Kerberos zinaweza kuundwa pia kwa watumiaji wa wingu pekee. Mahitaji pekee ni kwamba SID ni SID sahihi.
Kubadilisha SID ya watumiaji wa wingu pekee wa admin sasa imezuiliwa na Microsoft. Kwa habari angalia https://aadinternals.com/post/on-prem_admin/
On-prem -> Wingu kupitia Uteuzi wa Kizuizi cha Rasilimali Kulingana na Mamlaka
Yeyote anayeweza kusimamia akaunti za kompyuta (AZUREADSSOACC$
) kwenye chombo au OU akaunti hii iko, anaweza kusanidi uteuzi wa kizuizi cha rasilimali kulingana na mamlaka juu ya akaunti na kufikia.
Marejeo
Last updated