Az - Seamless SSO
Основна інформація
З документації: Azure Active Directory Seamless Single Sign-On (Azure AD Seamless SSO) автоматично входить користувачів, коли вони знаходяться на своїх корпоративних пристроях, підключених до корпоративної мережі. При ввімкненні користувачам не потрібно вводити свої паролі для входу в Azure AD, і зазвичай навіть вводити свої імена користувачів. Ця функція надає вашим користувачам легкий доступ до ваших хмарних додатків без необхідності будь-яких додаткових компонентів на місці.
Фактично Azure AD Seamless SSO входить користувачів на пристрої, приєднані до домену на місці.
Це підтримується як PHS (Синхронізація хешів паролів), так і PTA (Прохідна аутентифікація).
Desktop SSO використовує Kerberos для аутентифікації. При налаштуванні Azure AD Connect створює обліковий запис комп'ютера з назвою AZUREADSSOACC$
в місцевому AD. Пароль облікового запису AZUREADSSOACC$
надсилається у відкритому вигляді в Azure AD під час налаштування.
Квитки Kerberos шифруються за допомогою NTHash (MD4) пароля, і Azure AD використовує надісланий пароль для розшифрування квитків.
Azure AD використовує точку доступу (https://autologon.microsoftazuread-sso.com), яка приймає квитки Kerberos. Браузер машини, приєднаної до домену, пересилає квитки на цю точку доступу для SSO.
З місця на хмару
Пароль користувача AZUREADSSOACC$
ніколи не змінюється. Тому адміністратор домену може скомпрометувати хеш цього облікового запису, а потім використовувати його для створення срібних квитків для підключення до Azure з будь-яким синхронізованим користувачем на місці:
З отриманим хешем ви можете зараз генерувати срібні квитки:
Для використання срібного квитка слід виконати наступні кроки:
Ініціювати браузер: Має бути запущений Mozilla Firefox.
Налаштувати браузер:
Перейдіть до
about:config
.Встановіть параметр для network.negotiate-auth.trusted-uris на вказані значення:
https://aadg.windows.net.nsatc.net
https://autologon.microsoftazuread-sso.com
Отримати доступ до веб-застосунку:
Відвідайте веб-застосунок, який інтегрований з доменом AAD організації. Загальним прикладом є Office 365.
Процес аутентифікації:
На екрані входу введіть ім'я користувача, залишивши поле пароля порожнім.
Для продовження натисніть або TAB, або ENTER.
Це не обхідно обхідати MFA, якщо ввімкнено
Створення квитків Kerberos для користувачів тільки в хмарі
Якщо адміністратори Active Directory мають доступ до Azure AD Connect, вони можуть встановити SID для будь-якого користувача хмари. Таким чином, квитки Kerberos можуть бути створені також для користувачів тільки в хмарі. Єдиним вимоги є те, що SID є правильним SID.
Зміна SID користувачів адміністраторів тільки в хмарі зараз заблокована Microsoft. Для отримання інформації перевірте https://aadinternals.com/post/on-prem_admin/
З On-prem в хмару через делегування обмеження на основі ресурсів
Будь-хто, хто може керувати обліковими записами комп'ютерів (AZUREADSSOACC$
) у контейнері або ОУ, в якому знаходиться цей обліковий запис, може налаштувати делегування обмеження на основі ресурсів на обліковий запис та отримати до нього доступ.
Посилання
Last updated