Implementace správy synchronizace hodnot hash hesel (PHS)
Jak funguje synchronizace hodnot hash hesel
Synchronizace hodnot hash hesel je jednou z metod přihlašování používaných k dosažení hybridní identity. Microsoft Entra Připojení synchronizuje hodnotu hash hesla uživatele z instance místní Active Directory do cloudové instance Microsoft Entra.
Doména služby Active Directory Services ukládá hesla ve formě hodnoty hash reprezentace skutečného hesla uživatele. Hodnota hash je výsledkem jednosměrné matematické funkce (hashovací algoritmus). Neexistuje žádný způsob, jak výsledek jednosměrné funkce převést zpět na heslo v prostém textu. Pokud chcete synchronizovat heslo, Microsoft Entra Připojení synchronizuje hodnotu hash hesla z instance místní Active Directory. Před synchronizací do ověřovací služby Microsoft Entra se na hodnotu hash hesel použije dodatečné zpracování zabezpečení. Hesla se synchronizují na základě jednotlivých uživatelů a v chronologickém pořadí.
Skutečný tok dat procesu synchronizace hodnot hash hesel je podobný synchronizaci uživatelských dat. Hesla se ale synchronizují častěji než standardní okno synchronizace adresářů pro jiné atributy. Proces synchronizace hodnot hash hesel se spouští každých 2 minuty. Četnost tohoto procesu nelze změnit. Při synchronizaci hesla přepíše stávající cloudové heslo.
Při prvním povolení funkce synchronizace hodnot hash hesel provede počáteční synchronizaci hesel všech uživatelů v oboru. Při první synchronizaci nelze explicitně definovat podmnožinu uživatelských hesel, která chcete synchronizovat. Po dokončení počáteční synchronizace můžete nastavit selektivní synchronizaci hodnot hash hesel pro budoucí synchronizace.
Pokud existuje více konektorů, je možné zakázat synchronizaci hodnot hash hesel pro některé konektory, ale ne pro jiné. Když změníte místní heslo, aktualizované heslo se synchronizuje nejčastěji během několika minut. Funkce synchronizace hodnot hash hesel automaticky opakuje neúspěšné pokusy o synchronizaci. Pokud při pokusu o synchronizaci hesla dojde k chybě, zaprotokoluje se v prohlížeči událostí chyba.
Povolení synchronizace hodnoty hash hesel
Když nainstalujete Microsoft Entra Připojení pomocí možnosti Express Nastavení, synchronizace hodnot hash hesel se automaticky povolí. Pokud používáte vlastní nastavení při instalaci microsoft Entra Připojení, synchronizace hodnot hash hesel je k dispozici na přihlašovací stránce uživatele.
Synchronizace hodnot hash hesel a standard Federal Information Processing
Pokud je váš server uzamčený podle standardu FIPS (Federal Information Processing Standard), je md5 zakázaný.
Pokud chcete povolit synchronizaci hodnot hash hesel MD5, proveďte následující kroky:
- Umožňuje přejít na
%programfiles%\Azure A D Sync\Bin. - Otevřete miiserver.exe.config.
- Přejděte na uzel konfigurace/modulu runtime na konci souboru.
- Přidejte následující uzel:
<enforceFIPSPolicy enabled="false"/> - Uloží vaše změny.
Tento fragment kódu by měl vypadat takto:
<configuration>
<runtime>
<enforceFIPSPolicy enabled="false"/>
</runtime>
</configuration>
Použití PingFederate
Nakonfigurujte PingFederate s Microsoft Entra Připojení nastavit federaci s doménou, kterou chcete připojit. Jsou vyžadovány následující požadavky:
- PingFederate 8.4 nebo novější.
- Certifikát TLS/SSL pro název federační služby, který chcete použít (například sts.contoso.com).
Jakmile se rozhodnete nastavit federaci pomocí PingFederate v AD Připojení, zobrazí se výzva k ověření domény, kterou chcete federovat. V rozevírací nabídce vyberte doménu.
Nakonfigurujte PingFederate jako federační server pro každou federovanou doménu Azure. Potom vyberte Exportovat Nastavení a sdílejte tyto informace se správcem PingFederate. Správce federačního serveru aktualizuje konfiguraci a poskytne adresu URL serveru PingFederate a číslo portu, aby microsoft Entra Připojení mohl ověřit nastavení metadat.