Tags: Active Directory, Azure, Authentifizierung, SSO
Das Primary Refresh Token dient dem Single Sign-on (SSO) auf modernen Rechnern mit Windows 10, Server 2016 oder 2019. Es hat damit eine ähnliche Aufgabe wie das Kerberos Ticket Granting Ticket (TGT) on-prem bei der Authentifizierung gegen die AD DS. Beim SSO in hybrider Struktur sieht Microsoft drei Verfahren vor.
Damit Nutzer oder Geräte, die im Azure AD (hybrid) registriert sind, auf M365-Apps wie Teams zugreifen können, benötigen sie ein Zugriffstoken (Access Token). Dieses ist im Fall der Cloud-Applikationen das Primary Refresh Token (PRT) und wird für das Single Sign-On ausgestellt. Dafür gibt es drei hybride Identität-Sign-On Methoden.
Betrachten wir zu Beginn noch einmal das lokale Active Directory und die Applikationen im Firmennetzwerk. Auch hier ist der optimale Weg, sich mit den zentral gespeicherten Zugangsdaten aus dem AD gegenüber sämtlichen Applikationen zu authentifizieren. So wird die separate Authentifizierung an einer Vielzahl von Apps vermieden.
Diesen Komfort möchten wir auch bei unseren Cloud-Anwendungen nutzen. Im Folgenden gehe ich auf die Möglichkeiten ein, die sich dafür bieten.
Password Hash Synchronisation
Hierbei synchronisieren wir mittels installiertem AAD Connect den Hash des Hash eines Benutzer-Passwortes aus den Active Directory Domain Services (AD DS) nach Azure Active Directory (AAD). Der Benutzer meldet sich dann mit seinen gewohnten Zugangsdaten aus dem lokalen AD an den Cloud-Applikationen an.
Active Directory Federation Services (AD FS)
Verwenden wir lokale AD FS-Server, dann authentifizieren sich die Benutzer immer on-prem. AD FS geht hierbei eine Vertrauensstellung mit dem öffentlichen Azure AD ein. Die aufwändige Wartung der meist redundanten AD FS-Server-Infrastruktur obliegt dem Infrastruktur-Team.
Pass-Through Authentication (PTA)
PTA setzt auf lokal installierte Agenten, welche die Authentifizierung zwischen den lokalen AD DS und dem AAD regeln. Passwörter werden hierbei lokal vorgehalten und nicht in die Cloud synchronisiert. Der Wartungsaufwand für die Agenten ist gegenüber AD FS vergleichsweise gering.
Prüfung der PRT-Ausstellung
Ob ein PRT auf einem hybrid joined Device ausgestellt wurde, lässt sich via
DSREGCMD.exe /STATUS
herausfinden. Das Primary Refresh Token ist ein JSON Web Token und beinhaltet Informationen zum User und Device. Es hat eine Gültigkeit von 90 Tagen, wenn es permanent in Gebrauch ist. Danach wird es neu angefordert. Liegt es 14 Tage brach, verfällt es und muss erneuert werden.
Ändert sich ein Benutzerpasswort, dann wird das PRT außerhalb dieser Zeitfenster erneuert. Zusammen mit dem PRT wird ein Session Key generiert und in das Device-TPM importiert. Es ist somit an das Gerät gebunden und bei einem Diebstahl vor Missbrauch geschützt.
Folgender Screenshot zeigt den gleichzeitigen Azure-AD-Join und AD-Join des Geräts in meine lokale Labor-Domäne.
Öffnet man eine Applikation für einen SSO, dann wird das PRT mit einer Gültigkeitsdauer von 14 Tagen ausgestellt. Alle vier Stunden findet ein Refresh statt.
Events rund um PRT und AAD
Wie bereits erwähnt, ist DSREGCMD.exe das Mittel der Wahl beim Troubleshooting zum hybrid join oder PRT. Doch zusätzlich lohnt sich ein Blick auf die Events, die auch hierbei generiert werden.
Startet man den Event Viewer, dann führt der Weg über Applications and Services Logs => Microsoft => Windows zu User Device Registration => Admin.
Wie der Name schon verrät, liefert das Log Einträge zur Device Registration in AAD. Weitere Events finden sich unter Applications and Services Logs => Microsoft => Windows zur AAD => Operational.
Täglich Know-how für IT-Pros mit unserem Newsletter
Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infrastructure Architect unter anderem für den japanischen Konzern JTEKT/TOYODA mit Verantwortung über die Europastandorte Krefeld und Paris. Darüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Lokationen des Konzerns mit und ist spezialisiert auf hochverfügbare virtualisierte Microsoft-Umgebungen plus Hybrid Cloud Solutions. Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
// Kontakt: E-Mail, Twitter, LinkedIn //
Verwandte Beiträge
- Azure Active Directory: Anwendungen zuweisen, SSO konfigurieren
- Neue Policy für Authentifizierung ohne Passwort und erweiterte Web-Anmeldung für Windows 11
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
- Microsoft Authenticator: Push-Nachrichten für MFA absichern
Weitere Links