SSO zwischen Active Directory und der Microsoft-Cloud mit Pass-through-Authentifizierung (PTA) einrichten


    Tags: , , ,

    AAD Pass-through-AuthentifizierungDie Pass-through Authenti­fizierung (PTA) stellt eine Alter­native zu AD FS oder der Password-Hash-Synchro­nisation nach Azure AD dar. Ziel auch dieser Technik ist es, den Benutzern über die Authenti­fizierung am lokalen AD den Zugriff auf Cloud-Apps zu ermöglichen. Ihre Konfi­guration ist jedoch weniger auf­wändig als etwa für AD FS.

    In einer hybriden Infrastruktur setzen viele Unternehmen bereits heute eine Single-Credentials-Strategie um. Dabei müssen sich User wie gewohnt mit ihren Active Directory-Daten anmelden und können dann auch auf Public-Cloud-Applikationen wie jene von M365 zugreifen.

    Realisiert wird das oftmals durch eine relativ wartungsintensive AD FS-Infrastruktur. PTA bietet hier eine einfache Alternative, die sich on-prem mit einer schmalen Agenten-Installation begnügt.

    PTA-Status im Azure Portal unter Azure AD Connect

    Vorteile durch den Einsatz von PTA

    Welche Vorteile bietet uns PTA somit im Vergleich zu anderen Technologien wie den Active Directory Federation Services (AD FS) oder der Password-Hash-Synchronisation? Einige Beispiele helfen bei der Einordnung:

    • Die Pass-through Authentifizierung lässt sich einfach über Azure AD Connect konfigurieren (Sign-in Method).
    • Die PTA-Agenten sind kompakt und können auf mehreren Windows-Servern zusammen hochverfügbar installiert werden (nicht mehrere Agenten auf einem Server).
    • Die Agenten kommunizieren nur ausgehend über den TCP Port 443 (HTTPS requests für Feature operations) und Port 80 (HTTP requests für den Download von CRLs) mit dem Azure Active Directory. Weitere Firewall-Anpassungen entfallen, da Port 80 und 443 ausgehend meistens bereits allowed sind.
    • Eine Platzierung in einer DMZ ist nicht erforderlich.
    • PTA erfordert keinen Passwort-Hash-Transfer in die Public-Cloud, weil die Authenti­fizierung on-prem gegen das Active Directory erfolgt.
    • Compliance des Unternehmens kann erfüllt werden.
    • Ist das Anmeldekonto im AD gesperrt, dann kann sich der User auch nicht mehr bei M365 anmelden.
    • Passwort­­änderungen greifen sofort, es muss kein Replikations-Fenster (2 Minuten) abgewartet werden.
    • Die Pass-through Authentifizierung arbeitet zusammen mit Azure AD Multi-Factor Authentication und Conditional Access Policies.
    • Self-Service Password Reset (SSPR) in der Cloud ist möglich (Password writeback).

    Funktionsweise von PTA

    Ablauf einer Pass-through-Authentifizierung

    1. In meinem Beispiel öffnet ein neuer User seine Cloud-Applikation
    2. Die Anfrage wird an Azure AD geroutet (Azure AD Security Token Service antwortet) und der User gibt seine Credentials für den Log-in ein.
    3. Das Passwort wird mit dem Public Key des PTA-Agenten verschlüsselt (dieser wird in Azure SQL für jeden registrierten Agenten gesichert). Das verschlüsselte Passwort bleibt in der Service-Bus-Queue, bis der PTA Agent (dauerhaft mit der Queue verbunden) dieses erhält. Im Gegensatz zu AD FS ermittelt die Cloud ihre Anmeldedaten und verarbeitet diese in einer Warteschlange.
    4. Der PTA-Agent erhält den Benutzernamen und das verschlüsselte Passwort durch eine ausgehende Verbindung.
    5. Der Agent auf dem on-prem-System arbeitet diese Anmelde­warte­schlange ab und entschlüsselt das Passwort mit seinem Private Key.
    6. Danach werden die Credentials mithilfe der Win32 LogonUser API gegen die on-prem AD DS validiert.
    7. Active Directory überprüft die Anfrage und quittiert sie mit erfolgreich, fehlerhaft, Passwort abgelaufen, Konto gesperrt oder Credentials falsch.
    8. Der PTA-Agent leitet diese Antwort wieder zum Azure AD weiter.
    9. Hier findet eine Bewertung statt, ob dieses Ergebnis mit der Log-in-Anforderung in Zusammenhang steht
    10. Fällt diese positiv aus, kann der User auf die Applikation zugreifen.

    Hinweis: Agenten kommunizieren nicht untereinander, sondern nur mit der Public-Cloud. Es findet keine Abstimmung und auch kein Load-Balancing beim Einsatz mehrerer Agenten statt. Die Windows Server für PTA-Agenten sollten gehärtet sein.

    Konfiguration der Pass-through Authentication

    Wie bereits erwähnt, lässt sich eine PTA über ein bereits installiertes Azure Active Directory Connect (AAD Connect) zügig konfigurieren. Über den Punkt Change user sign-in führt der Wizard durch die notwendigen Schritte.

    Der AAD Connect Wizard führt durch die Konfiguration von PTA.

    Zu Beginn muss ich mich wie gewohnt über meinen globalen Administrator (Cloud only Account) mit Azure AD verbinden.

    Globalen Administrator für die Verbindung mit Azure Active Directory verwenden

    Danach kann man schon die Anmeldeoption Pass-through authentication über den entsprechenden Radio-Button auswählen. Zusätzlich ist die Checkbox für das Single sign-on bereits aktiviert.

    PTA und SSO in AAD Connect auswählen

    Entscheidet man sich für das Single-Sign-on, dann müssen die Anmeldedaten des lokalen Domain Admin einmal verifiziert werden.

    Aktivierung von SSO über den on-prem Domain Admin

    Die Konfiguration für PTA ist damit bereits erledigt. In meinem Fall ist die Password-Hash-Synchronisation noch zusätzlich aktiv (Backup) und kann später bei Bedarf ausgeschaltet werden.

    Abschluss der PTA-Konfiguration über AAD Connect

    Ist die Konfiguration bestätigt, wird automatisch der AAD Connect PTA-Agent installiert. Dieser lässt sich zusätzlich aus dem Azure Portal laden und manuell einrichten. Weitere Windows Server, Core werden nicht unterstützt, können dann mit einem heruntergeladenen Agenten versorgt werden.

    Die Zusammenfassung zeigt die weiteren Ausführungsschritte

    Jetzt sind zwei zusätzliche on-prem-Services vorhanden, einmal der Azure AD Connect Authentication Agent sowie der Microsoft Azure AD Connect Agent Updater.

    In Azure Active Directory lässt sich verifizieren, ob der Authentication Agent ordnungsgemäß kommuniziert.

    PTA lässt sich im Azure Portal unter Azure AD überprüfen

    Da ich zusätzliche Daten rundum um den Authentifizierungsprozess abfragen möchte, starte ich dazu on-prem einen Perfmon und überwache diesen über die Counter PTA authentications (failed and successful).

    Weiterführende Links zu PTA

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Marcel Küppers

    Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infra­structure Architect unter anderem für den japani­schen Konzern JTEKT/TOYODA mit Verant­wortung über die Europa­standorte Krefeld und Paris. Da­rüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Loka­tionen des Kon­zerns mit und ist spezia­lisiert auf hoch­verfügbare virtuali­sierte Microsoft-Umgebungen plus Hybrid Cloud Solutions. Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
    // Kontakt: E-Mail, Twitter, LinkedIn //

    Verwandte Beiträge

    Weitere Links