Single Sign-On für Azure, Microsoft 365 und hybride Umgebungen: 3 Verfahren im Überblick

Betrachten wir zu Beginn noch einmal das lokale Active Directory und die Applikationen im Firmen­netzwerk. Auch hier ist der optimale Weg, sich mit den zentral gespeicherten Zugangsdaten aus dem AD gegenüber sämtlichen Applikationen zu authentifizieren. So wird die separate Authentifizierung an einer Vielzahl von Apps vermieden.

Diesen Komfort möchten wir auch bei unseren Cloud-Anwendungen nutzen. Im Folgenden gehe ich auf die Möglichkeiten ein, die sich dafür bieten.

Password Hash Synchronisation

Hierbei synchronisieren wir mittels installiertem AAD Connect den Hash des Hash eines Benutzer-Passwortes aus den Active Directory Domain Services (AD DS) nach Azure Active Directory (AAD). Der Benutzer meldet sich dann mit seinen gewohnten Zugangsdaten aus dem lokalen AD an den Cloud-Applikationen an.

Active Directory Federation Services (AD FS)

Verwenden wir lokale AD FS-Server, dann authentifizieren sich die Benutzer immer on-prem. AD FS geht hierbei eine Vertrauens­stellung mit dem öffentlichen Azure AD ein. Die aufwändige Wartung der meist redundanten AD FS-Server-Infrastruktur obliegt dem Infrastruktur-Team.

Pass-Through Authentication (PTA)

PTA setzt auf lokal installierte Agenten, welche die Authentifizierung zwischen den lokalen AD DS und dem AAD regeln. Passwörter werden hierbei lokal vorgehalten und nicht in die Cloud synchronisiert. Der Wartungs­aufwand für die Agenten ist gegenüber AD FS vergleichsweise gering.

Prüfung der PRT-Ausstellung

Ob ein PRT auf einem hybrid joined Device ausgestellt wurde, lässt sich via

DSREGCMD.exe /STATUS

herausfinden. Das Primary Refresh Token ist ein JSON Web Token und beinhaltet Informationen zum User und Device. Es hat eine Gültigkeit von 90 Tagen, wenn es permanent in Gebrauch ist. Danach wird es neu angefordert. Liegt es 14 Tage brach, verfällt es und muss erneuert werden.

Ändert sich ein Benutzer­passwort, dann wird das PRT außerhalb dieser Zeitfenster erneuert. Zusammen mit dem PRT wird ein Session Key generiert und in das Device-TPM importiert. Es ist somit an das Gerät gebunden und bei einem Diebstahl vor Missbrauch geschützt.

Folgender Screenshot zeigt den gleichzeitigen Azure-AD-Join und AD-Join des Geräts in meine lokale Labor-Domäne.

Öffnet man eine Applikation für einen SSO, dann wird das PRT mit einer Gültigkeitsdauer von 14 Tagen ausgestellt. Alle vier Stunden findet ein Refresh statt.

Events rund um PRT und AAD

Wie bereits erwähnt, ist DSREGCMD.exe das Mittel der Wahl beim Troubleshooting zum hybrid join oder PRT. Doch zusätzlich lohnt sich ein Blick auf die Events, die auch hierbei generiert werden.

Startet man den Event Viewer, dann führt der Weg über Applications and Services Logs => Microsoft => Windows zu User Device Registration => Admin.

Wie der Name schon verrät, liefert das Log Einträge zur Device Registration in AAD. Weitere Events finden sich unter Applications and Services Logs => Microsoft => Windows zur AAD => Operational.